Una lacuna in Adobe Reader usata per nuovi attacchi

C’è un brutto spiffero in Adobe Reader: la società guidata da Shantanu Narayen ha appena confermato, attraverso la pubblicazione di un bollettino ufficiale, la scoperta di una pericolosa vulnerabilità nella popolarissima applicazione utilizzata per l’apertura e la gestione di documenti in formato PDF.
Secondo quanto riferito, la nuova falla di sicurezza sarebbe già sfruttata dagli aggressori per prendere il controllo dei sistemi presi di mira. La vulnerabilità zero-day – si chiamano così quelle lacune di sicurezza già sfruttate per sferrare attacchi per le quali non è disponibile alcuna patch risolutiva -, spiega Adobe, sarà risolta nel giro di qualche giorno mediante la distribuzione di un aggiornamento che verrà messo a disposizione entro la fine della prossima settimana.

La nuova patch sarà la sesta dell’anno destinata agli utenti di Adobe Reader ed Acrobat. Le versioni interessate dall’update saranno Reader X 10.1.1 e precedenti per Windows e Mac, Reader 9.4.6 e precedenti, Reader 9.x per le macchine Unix-based ed Adobe Acrobat X 10.1.1 per Windows e Mac.
“La vulnerabilità scoperta potrebbe provocare il crash dell’applicazione e permettere ad un aggressore di prendere il controllo completo del sistema“, hanno aggiunto i tecnici di Adobe.

Secondo Adobe, comunque, gli attacchi – seppur in corso – sarebbero per il momento piuttosto circoscritti e concepiti per bersagliare obiettivi specifici. Il bug all’origine del problema risiederebbe nella gestione del formato compresso chiamato U3D (universal 3D). Inserendo dei dati U3D malformati all’interno di un documento PDF, l’aggressore potrebbe avere gioco facile mandando in crisi Reader ed Acrobat ed arrivando a provocare l’esecuzione di codice dannoso. Attenzione quindi ai documenti PDF ricevuti via e-mail, soprattutto quelli provenienti da fonti non affidabili.

Adobe non ha rivelato i nomi delle aziende che sarebbero già state colpite dai primi attacchi. In calce al bollettino di Adobe spicca però il nome di Lockheed Martin, una delle più grandi aziende USA attive nei settori dell’ingegneria aerospaziale e della difesa. Formatasi nel 1995, Lockheed Martin impiega circa 140.000 persone ed è il maggior contraente militare degli Stati Uniti. Proprio il nome Lockheed Martin balzò alle cronache lo scorso maggio: la società ammise di essere stato l’obiettivo di un attacco informatico condotto, assai probabilmente, sfruttando le informazioni sottratte alcuni mesi prima da alcune macchine di RSA Security (ved. questo nostro articolo).