Appena un giorno dopo aver risolto nuove vulnerabilità in Flash Player, Adobe deve ora fronteggiare una nuova minaccia per la sicurezza dei suoi software. Questa volta il target è il noto lettore PDF, in particolare le versioni Reader X e XI. I ricercatori di Group-IB hanno scoperto una falla zero-day che permette di eseguire codice di shell utilizzando un documento PDF corrotto. L’exploit che sfrutta questa vulnerabilità è già stato venduto sul mercato nero per una cifra compresa tra 30.000 e 50.000 dollari.
Un dirigente dell’azienda di sicurezza russa ha spiegato che il prezzo pagato dai cybercriminali è così elevato in quanto, per la prima volta, è possibile superare le difese della sandbox implementata in Adobe Reader attraverso l’esecuzione di shellcode.
Group-IB ha pubblicato un video su YouTube per mostrare il funzionamento dell’exploit. Il documento PDF malformato può essere aperto direttamente nel software o mediante il plugin del browser. Per avviare l’esecuzione del codice malevolo deve essere prima chiuso il browser o il Reader. L’attacco funziona solo su Windows.
Per attivare la sandbox è necessario selezionare l’apposita opzione nelle preferenze, sotto la categoria Protezione avanzata. Nonostante ciò è possibile facilmente attaccare il computer di un ignaro utente, creando un file PDF ad hoc che Adobe Reader non riuscirà a bloccare. Fortunatamente le informazioni sulla vulnerabilità sono note solo ad un gruppo ristretto di persone, ma presto potrebbe essere sfruttata per eseguire un attacco su larga scala. Group_IB, infatti, afferma che la falla zero-day è stata già inclusa in una versione preliminare del Blackhole Exploit Kit, un tool utilizzato per distribuire vari tipi di malware.
Un portavoce di Abode ha dichiarato di non aver ricevuto nessun dettaglio sulla vulnerabilità dall’azienda russa, per cui al momento non è possibile sviluppare una patch risolutiva del problema. Gli utenti devono quindi evitare l’apertura di file PDF sospetti o eventualmente utilizzare un software alternativo.