Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 7 de marzo de 2009

Explotación de vulnerabilidades a través de archivos PDF

Explotar debilidades en determinadas aplicaciones de uso masivo, es en la actualidad uno de los vectores de ataque por malware más empleados; y en este sentido ya he posteado la explotación de vulnerabilidades varias a través de SWF y JS.

En este caso, el objetivo del atacante es encontrar equipos con Adobe Acrobat y Adobe Reader vulnerables a un ataque de Desbordamiento de Búfer (Buffer Overflow), descrito en CVE-2008-2992.

La cuestión es que, un ejemplo concreto lo constituye la dirección http://prororo7.net/sp/index .php. Al acceder a esta URL maliciosa, no se visualiza absolutamente nada pero, en segundo plano, el código exploit explotará el error mencionado en caso de encontrarlo.

En este ejemplo, se descarga y ejecuta de manera remota y arbitraria un malware a través del archivo f.pdf (MD5: 2de9de23f9db1e7b1e39d0481a372399) empleando la función util.printf de Java Script.

El código malicioso se manifiesta bajo el nombre load.exe (MD5: a6e317f29966fa9e2025f29c7d414c0a) y es descargado desde http://prororo7 .net/sp/l.php?b=4&s=P.

Lamentablemente, el archivo PDF es constantemente manipulado por quienes lo propagan para evitar la detección por parte de los programas antivirus, y porqué digo "lamentablemente", por que el índice de detección que este PDF malicioso posee hasta el momento es extremadamente bajo. Tal cual lo podemos observar en el reporte que devuelve VirusTotal, sólo cinco (5) compañías AV de un total de 39 previenen su infección.

Una situación similar se da con el archivo doc.pdf (MD5: 5fa343ebca2dd5a35b38644b81fe0485) que es llamado desde http://toureg-cwo .ch/fta/index.php, y que descarga el archivo 1.exe (MD5: 5c581054fbce67688d2666ac18c7f540) cuya tasa de detección es aún más baja que el anterior (4/39).

Muchas son las direcciones web que se están utilizando de manera activa para propagar malware:

tozxiqud .cn/nuc/spl/pdf .pdf
teirkmm .net/nuc/spl/pdf .pdf
hayboxiw .cn/nuc/spl/pdf .pdf
www.ffseik .com/nuc/spl/pdf .pdf
www.kuplon .biz/smun/pdf .php?id=2435&vis=1
www.geodll .biz/ar/spl/pdf.pdf
setcontrol .biz/ar/spl/pdf .pdf
newprogress .tv/fo/spl/pdf .pdf
eddii .ru/traffic/sploit1/getfile .php?f=pdf
google-analytics.pbtgr .ru/pdf .php?id=48462
hardmoviesporno .com/rf/exp/update1 .pdf

Como verán, las probabilidades de ser víctimas de este tipo de estrategias de infección es alta; en consecuencia, es de suma importancia parchear lo antes posible, quienes utilicen, las aplicaciones de Adobe.

Información relacionada
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS


# pistus

Ver más