Tecnología y un poco más... Blog - Mopa Hosting, sistemas, cómputo y más

logo M
M Cómputo y sistemas
Title
M Cómputo y sistemas
Vaya al Contenido

Vulnerabilidad en Lector Adobe Acrobat (CVE-2018-12794)

Mopa Hosting, sistemas, cómputo y más
Publicado por en Programación ·
Vulnerabilidad en Lector Adobe Acrobat
(CVE-2018-12794)
   

La Vulnerabilidad

 

Uno de los formatos más utilizados dentro del ámbito computacional son los documentos en formato PDF y también uno de los que más se involucra en el ámbito de seguridad.
 
La causa de la vulnerabilidad o prueba de concepto (PoC por sus siglas en ingles Proof of concept) se basa en una confusión de tipo.

 
La plantilla para lanzar la vulnerabilidad es sumamente sencilla.

 

 
 
La vulnerabilidad es provocada  por dos instrucciones de JavaScript, que al añadir un subformulario a otro, se puede realizar una lectura fuera de los límites del objeto de la plantilla subyacente. En este caso, la vulnerabilidad se produce al agregar un subformulario al que hace referencia xfa.template y uno por xfa.form y luego llamar a <object>.presence = “inactive”.

 


 
Aunque Adobe® ha puesto en su página que el problema se resolvió aun en la última versión se puede realizar la prueba. Enlace
 

 

Realizando la Prueba


 
La prueba es sencilla solo es necesario la PoC (un archivo PDF de solo 20KB) y abrirla en  Acrobat Reader®.

 
La prueba de concepto la puede descargar desde aquí

 
Si nuestra versión es vulnerable al abrir el archivo y antes de que se cargue este, debemos de ver un mensaje de alerta con el mensaje crash…!. Ver imagen.

 
Esta llamada al código JavaScript es la lectura desde fuera de los límites del contexto la vulnerabilidad.
 
 
Al dar aceptar el documento se abre (hoja en blanco) y nos muestra el mensaje no crash!.
 
Que está dentro del contexto y es correcta su ejecución. Ver Imagen
 

Como puedo protegerme

 

 
Primeramente: limitando la ejecución de JavaScript con Acrobat Reader®; desde el Menú Edición ->Preferencias->JavaScript Deseleccionar la opción Activar JavaScript para Acrobat, que esta seleccionada por default; y aunque, esto no previene la vulnerabilidad; si evita que el código JavaScript se ejecute y podemos evitar otros problemas. Ver Imagen

 
Si su red es empresarial;un firewall perimetral con un sistema  IPS/IDS (sistema de prevención de intrusos/Sistema de Detección de Intrusos por sus siglas en inglés) como Snort® o Suricata, pueden ayudar a prevenir este tipo de ataques ya que cuentan con una regla para ello. Enlace

 
Mantener el sistema operativo y el antivirus actualizados, aunque un escaneo del archivo en Virustotal demostró que no todos los antivirus lo detectan al momento de la redacción de este artículo. Enlace

 
Abrir los PDF con algún otro visor, como el del sistema operativo; evite abrir los documentos en los lectores de los navegadores de internet; aunque no son vulnerables a este ataque; si lo son a muchos otros.

Por ser un exploit nuevo el precio de este puede variar entre 5K y 25K USD segun vuldb.com por lo que en futuros meses podremos ver una alza significativa de este ataque.




comments powered by Disqus
Regreso al contenido