Adobe Reader utiliza un archivo en PDF para lanzar nuevo malware



El ataque conjunto basado en el archivo PDF fue descubierto por la empresa de seguridad ESET.

PDF
Créditos: flaticon

Un grupo no identificado de hackers accidentalmente expusieron como funcionan dos vulnerabilidades de día cero, cuando subían un PDF infectado a un motor publico de búsqueda de Malware.

Las vulnerabilidades fueron detectadas por los investigadores de seguridad del la firma de antivirus  ESET, que posterior a la detección informó sobre los problemas a Adobe y Microsoft, que a su vez los fabricantes repararon en dos meses.

Anton Cherepanov, el investigador de Eset quien publico las vulnerabilidades de día cero, cree que capturo las muestras a causa de que un hacker o varios hackers estaban ajustando los Exploits.

“Las muestras no contenían el payload final, lo cual demuestra que la muestra podría estar aún en etapa de desarrollo”

Te puede interesar: Así luce el nuevo iPhone X Tesla, lujosa versión de oro y batería ilimitada

Las dos vulnerabilidades son CVE-2018-4990 afectando a Adobe Acrobat Reader y CVE-2018-8120 afectando al componente Win32K de Windows.

Los dos atauqes de días cero están destinados a ser utilizados en conjunto y forman una llamada “cadena de explotación”. El día cero de Adobe tiene la intención de proporcionar la capacidad de ejecutar código personalizado dentro de Adobe Acrobat/Reader, mientras que el día cero de Windows permite a los atacantes escapar de la protección de espacio aislado de Adobe y ejecutar código adicional en el sistema operativo subyacente.


Cadena de Explotación

La muestra de PDF tenia embebido un código JavaScript el cual controlaba el proceso de explotación. El proceso es el siguiente:
  • El usuario recibe el archivo con carga.
  • Se ejecuta un código javascript Malicioso cuando se abre el PDF
  • El codigo Javascript manipula un objeto boton
  • El objeto boton que consiste en una imagen diseñada, gatila la doble vulnerabilidad en Adobe Acrobat
  • El código Javascript usa tecnicas heap-spray para obtener acceso a la memoria
  • El Javascript ataca el motor de Adobe Reader
  • El atacante utiliza  instrucciones a ejecutar en el codigo shell
  • El código ejecuta un Ejecutable portable embebido en el PDF
  • La vulnerabilidad de DiaCero de Microsoft permite elevar privilegios al ejecutable para correr en modo kernel y obtener acceso al sistema
Cherepanov publicó los dos PDF maliciosos  a finales de marzo. Ambas vulnerabilidades ya estan parchadas por ahora.
SHA: 0608c0d26bdf38e064ab3a4c5c66ff94e4907ccaf98281a104fd99175cdf54a8
SHA: 4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01
Referencia: seguridadyfirewall



Un comentario Añadir valoración

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *