Hasta las manos con los PDF!

El investigador Didier Stevens ha descubierto una forma de ejecutar códigos incrustados en archivos PDF sin utilizar JavaScript ni aprovechar vulnerabilidades.

Esto básicamente significa que podríamos infectar el equipo por el simple hecho de abrir un documento PDF especialmente manipulado. El investigador no dio a conocer la técnica implementada, pero publicó en su blog un video demostrativo y una prueba de concepto (PoC) para ejecutar el programa cmd.exe de Windows al abrir un documento PDF.

Al hacerlo con Adobe Reader, antes de ejecutarse la consola de Windows (cmd.exe), se muestra una alerta de seguridad. En cambió en Foxit Reader, cuando Stevens publicó la información, la consola de Windows también se ejecutaba pero sin previo aviso, es decir que no se requería una acción extra por parte del usuario para ejecutar el código.

Sin embargo, Foxit analizó la situación rápidamente y la última versión del programa publicada hoy 2 de abril, también muestra una advertencia antes de ejecutar los códigos incrustados.

Descargué el archivo manipulado desde el blog de Stevens y estuve haciendo algunas pruebas en un Windows XP SP2 y efectivamente, Foxit ahora muestra la advertencia:

foxit advertencia pcp exe
Si se da el visto bueno o se ignora el mensaje, cosa que la mayoría de los usuarios hace sobre todo si se aplica una buena ingeniería social, se ejecuta el código del documento y se inicia la consola. Además parte del mensaje se puede manipular como muestra Stevens en su blog:

consola pdf
En los comentarios del blog de Stevens, dicen que en el lector Sumatra PDF la consola no se ejecuta. Hice la prueba y efectivamente el documento se abre pero la consola en ningún momento se inicia, esto no significa que el lector sea más seguro, pero al menos lo es con la actual PoC.

¿Cuál es la solución entonces? en realidad es bastante simple, no abrir documentos extraños o no solicitados. Si recibimos un correo con adjuntos o cualquier clase de mensaje que nos direccione a un PDF, al no saber con exactitud de que se trata, lo mejor es ignorarlo.

Por último recuerda mantener el sistema y los programas actualizados, instalar un antivirus, un firewall y en los lectores PDF, desactivar el JavaScript, ya que es uno de los caminos más comunes para infectar equipos.

4 comentarios en «Hasta las manos con los PDF!»

  1. Eso pasa por hacer que un software que debe mostrar textos, haga otras cosas que no debería hacer :P

    Primero era Microsoft que al instalar IE te cambiaba medio sistema operativo, y ahora Adobe con un reader nos trae acceso a la consola !!

    Responder

Deja un comentario