Vídeo: Extracting a Windows Zero-Day from an Adobe Reader Zero-Day PDF (Novembro 2024)
A Adobe prometeu que uma correção para a vulnerabilidade crítica de dia zero atualmente sendo explorada na natureza estará disponível ainda esta semana.
As atualizações para as versões Windows e Mac OS X do Adobe Reader e Acrobat XI (11.0.01 e versões anteriores), X (10.1.5 e versões anteriores) e 9.x (9.5.3 e versões anteriores) estarão disponíveis durante a semana de fevereiro 18, disse a Adobe em seu comunicado de segurança publicado na noite de sábado. Atualizações para o Reader 9.5.3 e versões anteriores para Linux também estarão disponíveis, informou a empresa. As novas versões fecharão duas vulnerabilidades críticas de corrupção de memória que estão sendo exploradas atualmente.
A empresa de segurança FireEye descobriu documentos PDF com armadilha incorporados com JavaScript altamente ofuscado e enviados como anexos de e-mail no início deste mês. Quando a vítima abre o documento PDF, o malware baixa dois arquivos DLL. Um exibe uma mensagem de erro falsa e abre um documento PDF limpo, enquanto o outro descarta um componente de "retorno de chamada" que se comunica com um servidor remoto, disse o FireEye.
"A Adobe está ciente dos relatos de que essas vulnerabilidades estão sendo exploradas em ataques direcionados, projetados para induzir os usuários do Windows a clicar em um arquivo PDF malicioso entregue em uma mensagem de e-mail", informou a empresa na semana passada.
A tecnologia sandbox que a Adobe introduziu no Reader X há mais de dois anos foi projetada para que, mesmo que os invasores explorassem um bug no software, o código malicioso não pudesse acessar outras partes do computador. Este último ataque é o primeiro a ignorar com êxito essa defesa.
O fato de os invasores terem conseguido sair da caixa de areia é um "lembrete de que os bandidos não desistem quando você levanta a barra", escreveu Paul Ducklin, da Sophos, na Naked Security.
Ativar "Vista protegida"
O Reader XI mais recente possui um recurso que bloqueia o ataque, mas não está ativado por padrão.
Na quarta-feira, a Adobe pediu aos usuários que ativassem o "Modo de Exibição Protegido" no Reader para impedir o ataque atual. Os administradores podem ativar o Modo de Exibição Protegido para todas as máquinas Windows da organização de uma só vez, ou os usuários podem ativar a configuração manualmente para seus próprios computadores.
Para ativar o "Modo de exibição protegido", vá em Editar> Preferências> Segurança (aprimorada) e marque a caixa de seleção ao lado de "Arquivos de locais potencialmente inseguros". Você também pode verificar a opção "Todos os arquivos".
O Modo de Exibição Protegido é diferente do Modo Protegido, a tecnologia sandbox integrada. O Modo protegido restringe o código malicioso que pode ser executado ou acessado no computador. O novo Protected View, introduzido no Reader XI, oferece uma camada separada da área de trabalho e pode bloquear ataques como a captura de tela, de acordo com a Adobe. Nesse ambiente altamente restrito, muitos dos recursos do Reader estão desativados.
Para ficar seguro...
É importante ter muito cuidado ao abrir anexos de email. Se você não tiver um motivo válido para receber anexos de pessoas que não conhece, não abra anexos de estranhos. Não importa o quão interessante você acha que o tópico é.
Os invasores dedicam um tempo para criar e-mails e anexos maliciosos que combinam com o trabalho (talvez seja um convite para uma conferência ou um artigo sobre algo acontecendo no setor) ou com seus interesses. Mesmo assim, "um anexo enviado em um ataque direcionado geralmente não é solicitado ou inesperado. Em caso de dúvida, deixe de fora!" Disse Ducklin.
Se alguém que você conhece envia um anexo, verifique se é algo que você está esperando. Envie uma nota de volta ou faça uma ligação para verificar se o remetente realmente a enviou. Um grama de prevenção e tudo isso.
Ative o Modo de Exibição Protegido se você estiver executando o Reader ou Acrobat XI. Se você não estiver executando a versão mais recente, considere reservar um tempo para atualizar para poder tirar proveito dos novos recursos de segurança. Quando a Adobe lançar a próxima versão, atualize imediatamente.
Se você deseja usar aplicativos alternativos, também é uma opção. Embora o FoxIt Reader tenha suas próprias vulnerabilidades de segurança, a ferramenta não é atacada com tanta frequência devido à sua base de usuários relativamente pequena. Os usuários do Mac OS X também podem usar o aplicativo Preview incorporado ao sistema operacional.