Se ha lanzado un parche temporal para abordar una vulnerabilidad 0-Day en Adobe Reader DC (2019.010.20069 y anteriores), que podría permitir a los atacantes robar los hash NTLM de las contraseñas de las víctimas.

La vulnerabilidad, que aún no tiene una solución oficial, permite que un documento PDF envíe automáticamente una solicitud SMB al servidor de un atacante, tan pronto como se abra el documento. El protocolo SMB permite que una aplicación o usuario acceda a archivos en un servidor remoto. Incrustados en estas solicitudes SMB están los hashes NTLM. La empresa 0Patch lanzó una micropatch para la falla, encontrada en Adobe Reader DC.

«Esta vulnerabilidad permite a un atacante remoto robar el hash NTLM del usuario incluido en la solicitud de SMB», dijo Mitja Kolsek de 0Patch, en un mensaje publicado el lunes. «También permite que un documento «llame a casa», para que el remitente sepa que el usuario ha visto el documento. Obviamente, nada de esto es deseable».

El investigador de seguridad Alex Inführ reveló por primera vez la vulnerabilidad y un exploit de Prueba de Concepto en una publicación de blog del 26 de enero. La vulnerabilidad es similar a otro error grave gravedad descubierto anteriormente, CVE-2018-4993, que existía en un elemento de los documentos PDF maliciosos que permitía la carga automática de otro PDF desde un recurso compartido remoto. Este problema ya fue solucionado por Adobe, por lo que el usuario debe hacer clic en el cuadro de «advertencia de seguridad» que le informa que el documento está intentando solicitar un recurso compartido remoto.

Este nuevo fallo de Adobe utiliza una función similar. Esta vulnerabilidad (que aún no tiene un CVE) explota la carga de una hoja de estilo XML remota a través de la solicitud SMB. Si bien el usuario puede recibir una advertencia de seguridad si el documento intenta cargar la hoja de estilo XML a través de HTTP, no ocurre tal advertencia cuando se usa una ruta UNC (el tipo de ruta que denota un recurso en una carpeta compartida), dijeron los investigadores.

Este video muestra cómo el micropatch agrega un diálogo de seguridad a Adobe Reader. «Si el usuario selecciona ‘Sí’, la hoja de estilo remota se carga (por lo que la solicitud SMB entrega su hash NTLM al servidor remoto), y si selecciona ‘No’, el lector no puede cargar la hoja de estilo desde un path vacío.»

Un portavoz de Adobe dijo que la compañía planea emitir una actualización de seguridad esta semana.

Fuente: ThreatPost

Compartir