:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/QPYSXRO6EFD7PKNNZYUWBQUCIE.jpg)
Los PDFs son un mal necesario para muchos de nosotros. En muchas oficinas es casi EL estándar para enviar o recibir documentos, no suelen ser tan pesados como para que reboten al enviarlos vía email, permiten una atractiva combinación de texto, imágenes… y ahora ejecución de código por parte de un atacante aunque tengas deshabilitado Javascript, el producto al día con la última actualización gorda de Adobe u otras medidas de seguridad.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/EYR2BK6KMFCOPOA65VWMZBYHXQ.jpg)
Así es, puesto que gracias a la capacidad de un PDF de ejecutar un EXE, Didier Steven logró hacer correr código en un equipo sin siquiera usar un exploit underground ultrasecreto. Su descubrimiento no es un exploit propiamente tal, puesto que primero la victima tiene que permitir que corra la aplicación, sin embargo los mensajes de advertencia si pueden ser modificados por un atacante y con una pizca de ingeniería social es posible pillar desprevenido a alguien y hacer que haga click en “Abrir”:
De esto:
Como que me es familiar eso del System32
A esto, hay una gran diferencia:
«¡Para ver el mensaje cifrado en este PDF, seleccione «No mostrar este mensaje de nuevo» y presione el botón «Abrir»!»
Basándose en lo anterior, la gente de Sudosecure logró hacer que un PDF infectara otro, como muestran este video:
Por cierto, otro popular software para manipular PDFs como Foxit Reader ni siquiera mostraba el cuadro de advertencia de seguridad, lo que los obligó a sacar apresuradamente una actualización para corregir esto.
Mientras que la gente de Adobe hizo el siguiente comentario:
El mensaje de advertencia que aparece en Adobe Reader y Adobe Acrobat incluye encarecidas advertencias aconsejando a los usuarios a abrir y ejecutar el archivo si este proviene de una fuente confiable… siempre estamos evaluando formas de permitir a los usuarios finales y a los administradores el manejar y configurar características como esta para mitigar riesgos potenciales asociados”
Así que ya saben. Mucho ojo con esos mensajes que aparecen de vez en cuando al abrir PDFs, y ante la duda, mejor correr en círculos abstenerse.
Link: Exploits not needed to attack via PDF files (CNET News)
Link: Escape From PDF (Didier Stevens)
