Pesquisar

19 de nov de 2008

Arquivos PDF contaminados com vírus aproveitam vulnerabilidades do Adobe Reader 8.1.1

Os analistas da empresa fabricante do antvírus Avira divulgaram um boletim de alerta contra algumas vulnerabilidades detectadas em arquivos PDF contaminados. Através deles, os cibercriminosos conseguem enganar os mecanismos de detecção de antivírus baseados em checksums e tamanhos de arquivos.

Os experts da Avira analizaram alguns arquivos PDF contidos num kit de exploit(1) chamado El-Fiesta. Os programas perigosos são inoculados no computador do internauta através do método drive-by download. Os criminosos hackeiam sites idôneos, onde injetam um redirecionamento para um site suspeito que contém o kit de exploit El-Fiesta. No momento em que o browser do internauta aporta no endereço suspeito, é disparada uma busca por vulnerabilidades no computador da vítima, que quando encontradas, são aproveitadas para a inoculação de trojans.

Programa fonte das contaminações : Adobe Reader versão 8.1.1
As infecções por arquivos PDF se aproveitam de uma conhecida vulnerabilidade no Adobe Reader versão 8.1.1 e mais antigas. O malware provoca um estouro de buffer durante a leitura do documento PDF, que ocorre quando o Adobe Reader é obrigado a processar uma cadeia muito longa de argumentos na entrada de funções JavaScript. Quando a string de argumentos causa um estouro de buffer, o sistema operacional faz a leitura de um programa localizado no HD, ocasião para que um Trojan previamente infectado seja lido e carregado na memória.

Como se prevenir?
Continuam válidas as dicas usuais: manter o sistema operacional atualizado, bem como o anti-virus.

A Adobe já providenciou um novo update para o seu Reader, a versão 8.1.3, que repara a vulnerabilidade aqui abordada. A versão 9 não contém problemas.

Verifique urgentemente a versão do seu Adobe Reader. Se for a versão 8.1.1, vá ao Site da Adobe e baixe o update.

Extra! Extra! Arquivos PDFs contaminados têm a mesma origem!
Há uma coisa peculiar nos PDFs polimórficos contaminados: todos eles têm o mesmo índice, a tabela xref e todas as demais especificações contidas no cabeçalho são idênticas. Isto quer dizer que os hackers primeiro criaram um PDF padrão, depois embutiram os códigos camuflados, antes de enviar. A manobra é proposital, já que o procedimento padrão do Adobe Reader é tentar reparar a tabela xref antes de proceder a abertura do PDF. Depois da reparação, quando o Reader acessa o documento no disco, o PDF é carregado, conjuntamente com a execução de um JavaScript.

A concepção deste golpe não apresentou grandes dificuldades técnicas aos hackers, pois com pouco esforço eles obtiveram efeitos devastadores. Isto até agora, pois doravante, eles terão um trabalho muito mais árduo pela frente, já que os vários antivírus existentes no mercado se capacitaram a detectar arquivos PDF contaminados.

(1) Kit de Exploit: é um conjunto de códigos maliciosos usados pelos hackers para promover uma série de rotinas de ataques, primariamente aos sites alvos e posteriormente, aos computadores do usuário final.

Fonte:
Avira issues a warning about polymorphous harmful PDFs

Links relacionados:
Como se proteger da contaminação de vírus por ataque do tipo drive-by download?

4 comentários:

  1. E quem só usa o Foxit Reader, está livre de problemas?

    ResponderExcluir
  2. Pelo que me consta o problema de estouro de buffer (overflow) está acontecendo apenas com o Adobe Reader.

    ResponderExcluir
  3. É aquela história, quando um programa se torna "padrão" para o povo sempre é alvo de vulnerabilidades.. Vejam só o Internet Explorer x Firefox: O internet explorer é MELHOR que o Firefox em questão de segurança, mas como ele é usado pela maioria dos usuários é mais alvo de ataques do que o Firefox, que recebe menos atualizações que o IE.

    ResponderExcluir
  4. RPGPLAYER, de onde vc tirou que IE é mais seguro que o firefox???????

    ResponderExcluir