Vulnerabilidad en Adobe Reader X permite eludir sandbox

Publicado el 09 noviembre 2012 por Xombra

Parece que, en el mercado negro, se está vendiendo por 50.000 dólares una vulnerabilidad en Adobe Reader que permite eludir su sandbox y ejecutar código. No es novedad un grave fallo en Adobe, pero sí que lo es saltarse su sandbox. Lo peor: puede que ya esté siendo aprovechada por atacantes.

En su versión X (una forma más estética de llamar a la versión 10), Adobe introdujo una sandbox. Esta es una muy buena aproximación a la seguridad: puesto que no se pueden eludir las vulnerabilidades, es complejo arreglarlas a tiempo e imposible evitar que las exploten... al menos que se contenga el ataque dentro de un entorno que no haga daño a la máquina. Pero por supuesto, esto no es definitivo. De hecho, la noticia es que se haya conseguido eludir esta sandbox de Adobe. No es sencillo porque es necesario encadenar varias vulnerabilidades. Por ejemplo, en el pasado, eludir la Sandbox de Chrome reportó un importante beneficio económico (dentro de la legalidad al enmarcarse dentro de un concurso) a la compañía Vupen, que lo consiguió después de 6 semanas de trabajo.

La compañía moscovita Group-IB hadescubierto el fallo en la versión X y XI, sin dar detalles. Para explotarla es necesario abrir un PDF especialmente manipulado, y parece estar relacionado con los formularios. El problema es que el navegador suele permitir abrir PDFs con Adobe y, por tanto, solo con navegar se puede estar abriendo ese documento malformado y quedar infectado. De hecho parece que ya está incluida en algunas versiones "pro" de Blackhole, el famoso kit de explotación web. Su precio en el mercado negro se sitúa entre los 30.000 y los 50.000 dólares, al parecer en pequeños círculos del mercado negro. Pero este dato puede ser variable. Los atacantes pueden intentar cazar un PDF que aproveche este problema (como ha hecho Group-IB) estudiarlo y deducir el exploit y los detalles técnicos. En estos casos, cuanto menos conocida la vulnerabilidad, más cara resulta para su comprador. Ahora que se conoce su existencia, es cuestión de días que alguien la descubra, se filtre información, y su precio sea cero.

Chrome, al implementar medidas de seguridad adicionales como su propia sandbox, no se ve afectado. Esto quiere decir que si se abre un PDF desde Chrome que intenta lanzarse directamente con Adobe X, el usuario podría no verse afectado por la vulnerabilidad.

Se recomienda utilizar alternativas a Adobe si es posible. Si bien este fallo es especialmente peligroso, es común que Adobe no solo sufra graves vulnerabilidades, sino que sean aprovechadas masivamente por atacantes. Las alternativas también sufren de problemas de seguridad, pero al menos no suelen ser atacadas. Si no es posible, lo mejor es deshabilitar el plugin del navegador, eliminar la posibilidad de que se ejecute JavaScript en los PDF y por supuesto no abrir ficheros no solicitados.

Adobe está trabajando para confirmar el fallo.