A Adobe informou semana passada da existência de uma vulnerabilidade crítica que afeta seu leitor Acrobat Acobat PDF. Preocupante, a falha pode ser combinada com uma falha do Windows corrigida para assumir o controle de uma máquina afetada.
A Adobe divulgou na última segunda-feira (14/02) correções para 47 falhas nos produtos Acrobat e disse inicialmente que não estava ciente de ataques na natureza por nenhuma das falhas. No entanto, hoje a Adobe atualizou seu boletim de segurança com um comentário de que está “ciente de um relatório de que um exploit para o CVE-2018-4990 existe na natureza”.
A falha “crítica” do Adobe Reader foi relatada pelo pesquisador da ESET, Anton Cherepanov, que também encontrou uma falha “importante” que a Microsoft corrigiu em sua atualização de terça-feira de maio, que está sendo rastreada como CVE-2018-8120.
O boletim atualizado da Adobe traz seu alerta em consonância com as informações no comunicado da Microsoft, segundo as quais havia ataques na natureza contra uma falha de privacidade de privilégio anteriormente não revelada que afetava o Windows.
Cherepanov preencheu as lacunas em um post no blog revelando que a fonte das duas vulnerabilidades era um documento PDF malicioso que combinava ambas as falhas para explorar uma vulnerabilidade de execução remota de código no Adobe Reader e elevar privilégios em uma máquina Windows vulnerável.
Assim como o script de exploração do Internet Explorer “Double Kill” que a Microsoft também corrigiu em maio, Cherepanov sugere que o ataque combinado ao Adobe Reader e ao Windows foi o trabalho de hackers patrocinados pelo Estado.
Embora essas explorações sejam normalmente reservadas para alvos de alto valor, existem preocupações de que as falhas do Double Kill e do Acrobat Reader / Windows sejam atraentes para os criminosos cibernéticos em busca de ataques indiscriminados a usuários comuns.
De acordo com Cherepanov, o ataque do Reader / Windows era um “caso raro”, no qual os atacantes podiam desenvolver exploits que contornavam a sandbox do Modo Protegido do Acrobat Reader sem encontrar uma vulnerabilidade no sistema operacional subjacente. A sandbox foi criada para impedir tentativas de comprometer um computador que executa o Adobe Reader.
O ataque ao Acrobat Reader depende de uma imagem JPEG2000 especialmente criada para executar código JavaScript mal-intencionado no mecanismo JavaScript da Adobe.Depois de explorar a falha do Reader, o invasor precisa direcionar a falha do Windows, o que permite que um invasor execute um código arbitrário no modo kernel e assuma o controle do sistema assim que fizer logon na máquina afetada.
“Um invasor que explorou com êxito essa vulnerabilidade pode executar código arbitrário no modo kernel. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos totais de usuário”, escreveu a Microsoft.
No lado positivo, o ESET relatou as falhas da Adobe e da Microsoft depois de descobrir um PDF de amostra que explorava falhas no software da empresa. A amostra, no entanto, não continha uma carga útil maliciosa real. Isso pode significar que o bug foi detectado em seus primeiros estágios de desenvolvimento.
Fonte: