Segurança Digital

A cinco dias da correção, brecha do PDF é explorada por crackers

fonte: IDG Now

Pesquisadores de segurança vêm detectando ataques com base na falha; enquanto não libera atualização, Adobe recomenda desativar JavaScript.

A uma semana da liberação, pela Adobe, de uma correção para uma vulnerabilidade crítica em seu software de PDF, hackers estão explorando a brecha tanto com ataques direcionados como distribuições em grande escala, disse um pesquisador nesta quinta-feira (7/1).

O Centro de Tempestades na Internet (ISC, na sigla em inglês) do SANS Institute revelou na segunda-feira (4/1) ter recebido amostras de um documento PDF que foi utilizado para capturar um PC, explorando um bug reconhecido pela Adobe em 14/12.

No mês passado, a Adobe disse que não iria corrigir o bug antes de 12/1. Na análise do código, o analista do ISC Bojan Zdrnja considerou o ataque via PDF "sofisficado" e seu uso de código embutido, do tipo ovo-de-páscoa, "engenhoso".

Esse tipo de código (chamado, em inglês, de egg-hunt shellcode) é um termo para uma invasão em múltiplos estágios, usada quando o hacker não é capaz de determinar onde, numa faixa de endereços de memória utilizados por um processo, o código vai terminar.

Nesta quinta-feira, o gerente de inteligência em segurança da Symantec, Joshua Talbot, confirmou que o PDF malicioso explorou a vulnerabilidade do Adobe Reader e do Acrobat, Mas, ao contrário de Zdrnja, disse não ver nada de extraordinário. "Não é algo particularmente novo ou sofisticado, disse Talbot.

Pico de ataques

Apesar de o PDF malicioso descrito pelo ISC ter sido visto em quantidades limitadas – ele foi projetado para alvos de alto perfil, como executivos de empresas ou pessoal com acesso a senhas de rede –, a Symantec monitorou ataques maiores explorando o bug do PDF. Pelo menos um ataque gerou mais de 34 mil detecções na rede global da Symantec, tendo seu pico de ocorrências em 31/12.

“Estamos definitivamente vendo alguma atividade aqui, já que a vulnerabilidade ainda não foi corrigida”, disse Talbot. Quando perguntado sobre a dimensão desses ataques, Talbot respondeu que “fica na classe dos que estão sendo ativamente explorados. Isso mostra que duas coisas estão acontecendo... Que os atacantes estão elaborando ataques com objetivos específicos, e que há pessoas que estão tentando distribuir exploits para tantas pessoas quanto possíveis”.

Como outros especialistas, Talbot recomenda aos usuários desabilitar o JavaScript no Reader e no Acrobat para proteger a si mesmos até terça-feira, que é quando a Adobe deverá entregar a correção.

As atualizações para Reader e Acrobat, que vão incluir correções para outras vulnerabilidades além desta descoberta no mês passado, será postada no site de suporte de segurança da Adobe em 12/1.

Voltar 08.01.2010.