Un malware supera la sandbox di Adobe Reader X e XI

C’è un brutto spiffero in Adobe Reader X ed in Adobe Reader XI: aprendo un documento PDF malevolo con uno dei due software, potrebbe verificarsi l’esecuzione di codice nocivo sul sistema in uso. A segnalare il problema sono i tecnici di una società russa, Group-IB, che svelano qualche informazione di particolare interesse. Innanzi tutto, il codice nocivo da poco emerso in Rete, permetterebbe ad un qualunque aggressore di scavalcare le difese della sandbox di Adobe Reader. I processi alla base del funzionamento di Reader (ma anche di Acrobat) vengono infatti isolati dal resto del sistema in modo tale che eventuali malware, inseriti nei documenti PDF o richiamati da essi, possano causare problemi. È il principio di funzionamento di qualunque sandbox: attorno all’applicazione viene costruito una sorta di recinto che impedisce al codice malware che riuscisse a “forzare”, in questo caso, Adobe Reader – ad esempio sfruttando errori di “buffer overflow” od inserendo codice JavaScript dannoso nei file PDF -, di interagire liberamente con Windows utilizzando gli stessi privilegi utente di cui gode il programma.
Anche le sandbox tuttavia non sono immuni da errori e bug: così, Andrey Komarov – uno dei responsabili di Group-IB – conferma l’esistenza di una grave falla nel meccanismo di protezione adottato in Adobe Reader e svela che “il codice exploit è già in uso da parte di malintenzionati. Gran parte dei dettagli tecnici sulla vulnerabilità stanno adesso circolando su forum russi e cinesi“.
Il codice in grado di far leva sul problema di sicurezza appena venuto a galla in Adobe Reader sarebbe già in vendita, sul mercato nero, ad un prezzo compreso tra 30.000 e 50.000 dollari e sarebbe già sfruttato per condurre numerosi attacchi nei confronti di clienti di istituti di credito selezionati.

Komarov ha aggiunto che l’attacco può essere al momento sferrato senza problemi nei confronti di coloro che navigano sul web utilizzando Microsoft Internet Explorer oppure Mozilla Firefox; nel caso di Google Chrome l’aggressione non andrebbe in porto dal momento che il browser del colosso di Mountain View integra delle misure di sicurezza addizionali durante la gestione dei documenti aperti con il plugin di Adobe Reader.

La vulnerabilità viene definita piuttosto pericolosa perché può essere sfruttata anche nel caso in cui l’utente, attraverso le opzioni di Adobe Reader, abbia deciso di non consentire l’esecuzione di codice JavaScript eventualmente presente nei documenti PDF (vedere anche l’articolo Cinque semplici interventi per mettere in sicurezza Adobe Reader). Il codice dannoso, stando a quanto rivelato, verrebbe eseguito al momento della chiusura del browser web oppure di Adobe Reader.
In un video prodotto da Group-IB, i tecnici della società mostrano il funzionamento del codice exploit. Come si vede, alla chiusura del file PDF, viene automaticamente eseguita la calcolatrice di Windows. Al suo posto, un autore di malware potrebbe richiedere l’esecuzione di qualunque altra applicazione.

Patch ufficiali per risolvere definitivamente il problema di sicurezza per il momento non ve ne sono. L’unico consiglio è quello di disattivare il caricamento automatico dei file PDF nell’ambito del browser web (Modifica, Preferenze, Internet, disattivare Visualizza PDF nel browser), aprire solamente i documenti provenienti da fonti sicure (una scansione con VirusTotal potrebbe aiutare…) ed utilizzare temporaneamente un altro gestore di documenti PDF.