Caso você ainda não tenha atualizado seu Adobe Reader, o faça agora! A ISS (IBM) alertou que os ataques utilizando este vetor de exploração (vulnerabilidade JBIG2Decode) começaram a se tornar cada vez mais comuns e já estão sendo usados por spammers.
Dependendo das configurações do seu leitor de email, ou browser, basta abrir um email com um PDF malicioso anexado para ser afetado. Se o PDF estiver em um diretório, basta selecionar o arquivo para acionar o ataque (veja video e detalhamento). Importante: o usuário pode perceber algo estranho porque o Internet Explorer vai travar por alguns segundos. Isto se deve à técnica de exploração utilizada, veja aqui mais detalhes [ heap spraying - printf() and collectEmailInfo() via javascript em um mesmo PDF ]
Para piorar, existem alguns vetores comprovados assustadores para exploração desta vulnerabilidade em redes locais: caso um PDF malicioso chegue a um diretório local ou mapeado por uma máquina XP, 2000, 2003 que rode o "Windows Indexing Service", nada mais precisa ser feito - o código malicioso irá executar o que quiser sem nenhuma interação ou conhecimento do usuário.
Para ficar de olho: o Nelson Brito prometeu uma análise detalhada em português da exploração desta vulnerabilidade. Se você ainda não viu, há pouco ele postou uma explanação e um vídeo de uma exploração também utilizando heap spraying (vulnerabilidade do Internet Explorer referente ao boletim MS08-078).
No comments:
Post a Comment