Vulnerabilidades detectadas en Adobe Reader y Acrobat permiten ejecución de código

En noticias y circunstancias acontecidas en los últimos días, agencias de seguridad informáticas, así como también el CCN-CERT, estableció nuevas alertas específicamente para los programas de Adobe Acrobat y Adobe Reader. Estas vulnerabilidades han sido categorizadas con severidad Crítica ya que se puede obtener control del sistema mediante escalamiento de privilegios a través de la inyección de código arbitrario, sin restricción en algunos sistemas operativos.

La primera vulnerabilidad que se destaca, publicada mediante el CVE-2018-16011, tiene la característica de ser tipo use after free, el cual autoriza el funcionamiento de código arbitrario en sistemas como Mac o Windows, en la sesiones de usuario que estén presentes.

La segunda vulnerabilidad (publicada bajo el CVE-2018-19725) es del tipo security bypass deja que el código atacante obtenga los privilegios de manera escalable, de acuerdo a la ruptura de sus barreras de seguridad.  

Los ataques se emplean por medio de la apertura de archivos PDF, en una versión vulnerable del sistema. Esto provoca un error en el sistema anfitrión, originando puertas de entrada para aplicar comandos e inyección de malware  de manera remota.

Los analistas de Adobe han categorizado esta vulnerabilidad como categoría prioritaria de nivel 2, nivel correspondiente a severidad crítica y, por lo tanto, deben ser solventadas lo más rápido posible ya que existe un alto nivel de riesgo además de que pueden ser explotadas con rapidez.

Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como para Windows.

Organizaciones como CCN-CERT recomienda hacer la descarga rápidamente de actualizaciones que han sido publicadas por Adobe recientemente.Una forma de actualizar es la de abrir las aplicaciones e ir hasta la pestaña de Ayuda y buscar la opción de comprobar las actualizaciones. Otra opción es la de activar las actualizaciones automáticas de Adobe durante la instalación de cualquiera de sus productos.

Vulnerabilidad 0-Day reparada por paquetes actualizables de Microsoft

A través de la normal y mensual actualización, Microsoft ha reparado diversas vulnerabilidades zero-day, que han sido de explotación activa recientemente.

Microsoft afirmó que ha establecido un parcheo rutinario en el mes de Diciembre, el cual ha solventado un numeró de 39 vulnerabilidades en aplicaciones de su sistema .

De acuerdo a anuncios establecidos por Avira y Kapersky, mencionan la existencia de una falla que había sido utilizadas por diversos piratas informáticos. Esta falla involucra la elevación de privilegios como administrador en el sistema operativo por una vulnerabilidad ocurrente en el sistema del Kernel.

Los mismos,  mencionan que los ataques pueden ser de la siguientes características:

Web Drive by-download (Infección por página de internet): consiste en la distribución de bloques de código ocultos a través de los navegadores más populares. Los paquetes más utilizados son : Mpack, Adpack, Elfiesta, Neón o Zeus.

Asimismo, varios estos paquetes permiten detectar una vulnerabilidad específica dependiendo del navegador en cuestión, usando scripts de ejecución en segundo plano.

RCE (ejecución remota de código): infecciones a través de correo o mensajería instantánea.

lPE (elevación de privilegios): se escalan privilegios en usuarios locales mediante introducción de código en el modo kernel, permitiendo pasar sobre los privilegios estándares, también es conocido como escape de restricciones de usuario.

El programa en cuestión posee el nombre de ntoskml.exe, permitiendo la ejecución con libertad de código. Está falla ha sido listada como CVE-2018-8611, cuyo funcionamiento es basado en la falta de ordenamiento en determinadas operaciones en el kernel permitiendo evadir reglas preestablecidas para el funcionamiento de los procesos.

Especialistas mencionan que afecta los sistemas desde Windows 7 hasta Windows Server 2019.

Los programas o aplicaciones más vulnerables en los que se ejecutan estos ataques son la paquetería antigua de Microsoft Office, ya que por ejemplo los los ataques son inyectados a través de malware asociados a los documentos Word con extensión .docx, los cuales son enviados a usuarios víctima como supuestos documentos de trabajo o entes empresariales o gubernamentales.

Microsoft asegura que el bloque de actualizaciones cubrirá principales aplicaciones (como Office, Internet Explorer, entre otras) hasta la presente fecha.