Adobe acaba de publica un aviso para advertir acerca de una vulnerabilidad de ejecución remota de código en Flash Player 10.2.152.33 y anteriores y también afecta a Adobe Reader y Adobe Acrobat (CVE-2011-0609).
Los ataques maliciosos se realizan en un archivo SWF incrustado en un archivo de Excel especialmente manipulado.
Sería bueno saber para qué Microsoft permite la inserción de archivos Flash en Excel o porqué le es útil a Adobe ser incluído dentro de un archivo de ese tipo. En este caso lo único que se logra es ampliar la superficie de ataque y facilitarle la vida a los atacantes.
Por otro lado, la razón de porqué los atacantes usando Excel como medio de propagación es simple: el archivo dañino puede ser entregado por correo electrónico y seguramente el usuario abrirá el archivo, confiando en él.
Adobe va a publicará un parche durante la semana del 21 de marzo y Adobe Reader X será parcheado recién el 14 de junio, ya que el modo protegido disponible en esa versión ofrece mitigación suficientes, según Adobe.
La aparición de ejemplos de ataques dirigidos explotando dicha vulnerabilidad no se hizo esperar. Se han encontrado archivos del tipo .xls (Excel) en los cuales se encuentran incrustados archivos .swf (flash) especialmente manipulados para explotar esta vulnerabilidad. Es importante recordar que las versiones vulnerables afectan a las plataformas de Windows, Macintosh, Linux, Solaris y Android. Por otro lado, en la versión de Reader y Acrobat se encuentra el componente “authplay.dll” que afecta tanto a las versiones de Windows como Macintosh.
Debido a la complejidad de la situación la cual esta categorizada como crítica es recomendable tener en cuenta los siguientes consejos:
- Renombrar o borrar el archivo “authplay.dll” que se encuentra en el directorio de instalación de Acrobat o Reader.
- No abrir documentos no solicitados, esto incluye a los archivos PDF.
- Contar con una solución antivirus con capacidad de detección proactiva.
- Prestar atención a los sitios donde estemos navegando.
- Usar algún lector de PDF alternativo o tener activada la opción de modo protegido de Adobe Reader.
Es importante estar atentos ante posibles nuevos vectores de ataques que pueda ir apareciendo debido a esta vulnerabilidad. Adobe, por su lado, se encuentra trabajando para buscar una solución al problema y se prevé que para el día 21 de marzo va estar disponible la actualización. Es altamente recomendable mantener nuestro sistema operativo y aplicaciones al día, así podemos minimizar el impacto de estos tipos de amenazas.
