Avisos 15 de February, 2013

Vulnerabilitat 0-day a Adobe Reader i Acrobat

Adobe ha publicat un avís de seguretat per informar de dues vulnerabilitats de tipus 0-day als productes Adobe Reader i Adobe Acrobat, que s'estan explotant activament pels cibercriminals. Aquestes vulnerabilitats estén considerades com de nivell crític, i permeten aconseguir el compromís de l'equip des de remot.

Actualització 21/2/2013: Adobe ha publicat un butlletí de seguretat (APSB13-07) amb actualitzacions per a Adobe Reader i Acrobat, que solucionen les vulnerabilitats esmentades.

Impacte

 
Execució de codi arbitrari.
 
Productes afectats
 
Adobe Reader i Acrobat versió 10.1.5,  versions anteriors per a Windows i Macintosh.
Adobe Reader i Acrobat versió 11.0.01, versions anteriors per a Windows i Macintosh.
Adobe Reader i Acrobat 9.5.3, versions anteriors per a Windows, Macintosh i Linux. 
 
Solució
 
Actualització 21/3/2013: ja és possible instal•lar les versions actualitzades amb els pegats per corregir les vulnerabilitats. Per actualitzar el més aviat possible, es recomana dur a terme una comprovació d'actualitzacions manual. Encara que es instal•lin les actualitzacions, es recomana conservar actives les mesures de mitigació per protegir-se en la mesura del possible davant vulnerabilitats en el futur (defensa en profunditat).
 
Fins a la publicació d'una actualització que solucione la vulnerabilitat, el fabricant Adobe recomana activar el mode de visualització protegida dels productes afectats (desactivat per defecte):
 
Els usuaris individuals poden activar aquesta opció al menú Edició->Preferències->Seguretat (millorada)->Activar seguretat millorada.
Els administradors de sistemes poden aplicar aquesta opció a totes les màquines de la seva organització propagant una política de grup (GPO). Més informació a aquest enllaç: http://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/protectedview.html
 
A més d'aquest mesura de mitigació, CESICAT recomana:
 
Desactivar el plugin d'Acrobat Reader del navegador, per evitar l'explotació mitjançant pàgines web malicioses.
No obrir fitxers de tipus PDF que no estem segurs de la seva procedència i contingut. 
En el cas necessari de tenir que obrir un document de tipus PDF, utilitzar lectors alternatius o utilitzar entorns d'execució segura de tipus Sandbox, o màquina virtual de tipus temporal.
Desactivar l'execució de codi JavaScript embegut als documents PDF, al menú Editar->Preferències->JavaScript de Adobe Reader/Acrobat.
Utilitzar l'eina de protecció contra l'explotació de vulnerabilitats de Microsoft EMET (Enhanced Mitigation Experience Toolkit) http://support.microsoft.com/kb/2458544.
Activar la prevenció d'execució de dades (DEP) a les versions de Windows que ho suportin.
Per estar protegit definitivament de la vulnerabilitat, és convenient estar pendents de la possible publicació d'una actualització per part del fabricant.
 
Els productes d'Adobe amb la seva configuració per defecte, realitzen comprovacions d'actualització de forma automàtica i periòdicament. Si no apareix l'avís de actualització a l'inici, es pot activar manualment seleccionant l’opció "Ajuda -> Cerca actualitzacions" a Adobe Reader i Acrobat.
 
Una vegada estiguin disponibles les actualitzacions, també poden descarregar-se consultant el butlletí d’Adobe, on s'inclouen les adreces de descàrrega directa de cada pegat, i les instruccions d'instal•lació per a cada producte.
 
Als dispositius Android, les actualitzacions es poden obtenir mitjançant Google Play (anteriorment conegut com l'Android Market). Si les notificacions automàtiques estan desactivades, l'actualització es pot executar accedint a Google Play i seleccionant Menú->Les meves aplicacions.
 
Detall
 
L'empresa de seguretat FireEye va descobrir dues vulnerabilitats als productes Adobe Reader i Acrobat, mitjançant l'anàlisi d'un fitxer PDF trobat a la xarxa. Aquest fitxer, quan es obre amb algún dels programes vulnerables, instal•la altres dos arxius maliciosos, en forma de llibreries dinàmiques de tipus .dll.
 
Els atacs detectats fins ara intenten persuadir a l'usuari per obrir un PDF maliciós enviat mitjançant correu electrònic.
 
Els identificadors estàndard de les vulnerabilitats descobertes són:
CVE-2013-0640
CVE-2013-0641
 
Referències
 
Nou 21/2/2013: Butlletí de seguretat d'Adobe APSB13-07
http://www.adobe.com/support/security/bulletins/apsb13-07.html
Avís de seguretat d'Adobe APSA13-02
https://www.adobe.com/support/security/advisories/apsa13-02.html
Avís de seguretat al bloc de l'empresa FireEye
http://blog.fireeye.com/research/2013/02/in-turn-its-pdf-time.html
Publicat a: Avisos