Falla nel formato PDF adottata dagli sviluppatori di Zeus

I criminali informatici che utilizzano le loro “creature maligne” per fini economici, si sa, sono sempre aggiornati. Ed ecco che oggi è arrivata la conferma: i creatori della botnet “Zeus” stanno facendo leva sulla lacuna “by-design” del formato PDF per causare nuove infezioni sui sistemi degli utenti.
La possibilità di utilizzare non una vera e propria vulnerabilità ma una specifica del formato PDF per provocare l’esecuzione di codice potenzialmente nocivo sulla macchina Windows dell’utente era stata recentemente portata alla luce dal ricercatore belga Didier Stevens (suggeriamo di consultare, a tal proposito, questi nostri articoli).

Con un particolare “escamotage“, Stevens è riuscito ad integrare, in qualunque file PDF, un file eseguibile (.exe), per poi indurne l’avvio all’apertura del documento. Il contenuto della finestra di avviso che il software impiegato per la lettura del PDF fa comparire, può essere modificato piuttosto facilmente. Lo ha mostrato lo stesso Stevens mentre un altro ricercatore – Jeremy Conway -, a distanza di qualche giorno, ha spiegato come la medesima “lacuna” possa essere sfruttata dagli aggressori per mettere a punto una sorta di “worm” in grado di bersagliare ed “infettare” tutti i documenti PDF salvati sul disco fisso.

Sebbene nessun ricercatore abbia pubblicato i dettagli tecnici ed i codici exploit, ben compresa la portata della minaccia, ecco quindi che gli autori di Zeus hanno subito messo a punto una nuova modalità d’attacco.
Lo conferma Dan Hubbard, CTO di Websense, che spiega come Zeus si stia diffondendo attraverso un file PDF che contiene un eseguibile in grado di infettare il personal computer.
Zeus, conosciuto per le sua abilità nel sottrarre informazioni personali, dati bancari e per l’utilizzo di “keylogger”, è il malware che per primo ha iniziato a sfruttare la funzionalità evidenziata da Stevens per scopi dannosi e, quindi, per far divenire il sistema infetto parte della sua “botnet“, molto ampia ancora oggi.

Adobe ha suggerito di disattivare l’opzione Consenti apertura di file allegati diversi da PDF con applicazioni esterne dal menù Modifica, Preferenze, Gestore affidabilità di Reader ed Acrobat. A beneficio degli amministratori, impostando a 0 il valore DWORD bAllowOpenFile nella chiave del registro HKEY_CURRENT_USERSoftwareAdobeAcrobat Reader9.0Originals (ove 9.0 va sostituito con la versione di Reader in uso, si otterrà un risultato analogo. Per assicurarsi che gli utenti non siano in grado di riattivare l’opzione, è possibile creare ed impostare a 1 il valore DWORD bSecureOpenFile (sempre all’interno della stessa chiave del registro di Windows).