Adobe Reader se encuentra en el punto de mira tras revelarse una grave vulnerabilidad zero-day que ha sido aprovechada para ataques maliciosos desde el pasado mes de diciembre. El investigador de seguridad Haifei Li ha señalado que los atacantes utilizan archivos PDF especialmente diseñados para activar el fallo y ejecutar código malicioso sin que el usuario tenga que realizar ninguna acción adicional.
Haifei Li, fundador de la plataforma de detección de vulnerabilidades EXPMON, emitió una alerta este martes advirtiendo que los atacantes emplean técnicas de explotación de PDF "altamente sofisticadas basadas en la identificación de huellas digitales". El fallo afecta a las versiones más recientes de Adobe Reader y no solo permite el robo de información local, sino que también puede utilizarse para la ejecución remota de código (RCE) o para evadir el entorno de pruebas (sandbox), otorgando a los atacantes el control total sobre el equipo de la víctima.
Ataques dirigidos al sector energético
El analista de inteligencia de amenazas Gi7w0rm ha realizado un análisis exhaustivo de estos ataques. La investigación reveló que los documentos PDF maliciosos utilizan señuelos de phishing en ruso, centrados principalmente en eventos recientes del sector del petróleo y el gas en Rusia. Este hallazgo sugiere que los atacantes podrían estar operando con objetivos industriales muy específicos.
Haifei Li subraya que el riesgo de seguridad es extremadamente alto, ya que los atacantes pueden extraer datos a través de las interfaces de la API de Acrobat, como 'util.readFileIntoStream' y 'RSS.addFeed'. El investigador ya ha notificado sus hallazgos a Adobe, pero recomienda a los usuarios evitar abrir cualquier archivo PDF de fuentes desconocidas hasta que se publique un parche oficial.
Para mitigar el impacto, los equipos de ciberdefensa pueden monitorear y bloquear el tráfico HTTP/HTTPS que contenga la cadena "Adobe Synchronizer" en la cabecera User-Agent. Li afirma que, dada la gravedad del fallo y el hecho de que ya está siendo explotado activamente, decidió hacer públicos sus hallazgos de inmediato para alertar a los usuarios de todo el mundo y fomentar la máxima precaución.
Hasta el momento, Adobe no ha emitido ninguna respuesta oficial sobre estos hallazgos. La persistencia de esta vulnerabilidad pone de manifiesto, una vez más, las debilidades en los mecanismos de seguridad del software de procesamiento de documentos y refleja la creciente sofisticación de los ciberataques dirigidos.