Blog de Websense Security Labs: Vulnerabilidad de Día Cero de Adobe Reader (CVE-2010-2883)

11/09/201011/09/2010 Alberto Marín Morán Websense

SAN DIEGO, CA — 11 de septiembre de 2010 — Se descubrió una nueva vulnerabilidad crítica en Adobe Reader que puede ser explotada por contenido malicioso. La vulnerabilidad podría hacer que la aplicación no responda debido a un problema de sobreflujo del buffer, lo que potencialmente permite que un atacante ejecute código malicioso en la computadora del usuario. Se reporta que esta vulnerabilidad es ampliamente explotada y se ha agregado a MetaSploit, por tanto la severidad es crítica:

http://twitter.com/hdmoore/status/23982529312

Todas las versiones 9.3.4 y anteriores de Adobe Reader son afectadas, incluyendo las versiones para Windows, Macintosh y Unix. La vulnerabilidad depende de un problema de comprobación de límites del buffer en el código de análisis de la fuente del archivo cooltype.dll. Actualmente Adobe está evaluando el calendario para emitir una actualización.

La muestra ha sido detectada por muchos productos antivirus:

http://www.virustotal.com/filescan/report.html?id=d55aa45223606db795d29ab9e341c1c703e5a2e26bd98402779f52b6c2e9da2b-1284031469

Esta muestra comprueba la versión de Adobe Reader y rocía diferentes shellcodes para diferentes versiones. Si no está satisfecho con el número de versión, entonces despliega una alerta: “Por favor, actualice su software de visualización de PDF”.

El código de la explotación del archivo PDF vulnerable es este:

shellcode

El shellcode descarga entonces un antivirus falso a la computadora del usuario:

http://www.virustotal.com/file-scan/report.html?id=d6d089fcbd886363cfbc23c237cab8d99d5033eff9f6a4a3eeb95e32f5b80113-1283836305

El asesor de seguridad de Adobe: http://www.adobe.com/support/security/advisories/apsa10-02.html

Hemos probado que ACE está protegiendo contra las muestras que hemos visto hasta ahora.

Acerca de Websense, Inc.

Websense, Inc. (NASDAQ: WBSN), líder global en soluciones unificadas de seguridad de contenido para Web, datos y correo electrónico, ofrece la mejor seguridad contra las amenazas modernas al costo total de propiedad más bajos a decenas de miles de empresas grandes, medianas y pequeñas alrededor del mundo. Distribuidas a través de una red global de socios de canal y entregadas como software, appliance y software como servicio (SaaS), las soluciones de seguridad de contenido de Websense ayudan a las organizaciones a aprovechar las nuevas herramientas de comunicación, colaboración y Web 2.0, al tiempo de proteger contra amenazas persistentes avanzadas, evitando la pérdida de información confidencial y aplicando las políticas de uso de Internet y seguridad. Las oficinas corporativas de Websense se encuentran en San Diego, California, y hay oficinas alrededor del mundo. Para consultar más información, visite http://www.websense.com/latam.

Para saber más de Websense síganos en Twitter en: twitter.com/WebsenseLatam y twitter.com/websense.