hit counter
La falla nei PDF usata per diffondere il malware Zeus: disabilitate la Launch Action in Adobe Reader - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

La falla nei PDF usata per diffondere il malware Zeus: disabilitate la Launch Action in Adobe Reader

La falla nei PDF usata per diffondere il malware Zeus: disabilitate la Launch Action in Adobe Reader

  • Comments 5
  • Likes

[English readers: you can find English links in this post for your convenience]

Credo sappiate già tutti della “falla” nella specifica del formato PDF che ha permesso a Didier Stevens di dimostrare come si possa lanciare un eseguibile senza sfruttare alcuna specifica vulnerabilità di Adobe Reader. Ecco, ora iniziano ad apparire le prime applicazioni pratiche di sfruttamento di questa dinamica di attacco:

Attacks exploit unpatched weakness in Adobe apps

Certo, l’attacco si presenta come PDF allegato in una mail che giunge dal servizio postale inglese (Royal Mail), e quindi noi italiani non dovremmo abboccare… ma la velocità di sfruttamento del problema del Launch Action è da tener presente per correre ai ripari in attesa che Adobe risolva la problematica.

E’ per questo che credo utile sottolinearvi il workaround di protezione, come indicato dallo stesso blog di Adobe, che consiste nel disabilitare la funzione che permette di abilitare l’esecuzione di allegati con applicazioni esterne:

Disable PDF launch action

E’ importante sottolineare che questo workaround vi protegge dagli attacchi di questo tipo, ma non protegge da tutte le tipologie di attacchi che possono sfruttare queste possibilità offerte dalle specifiche PDF, come indicato in fondo a questo articolo:

A separate PDF specification that allows applications to keep track of revisions could still be used to inject harmful code into PDFs using other types of programs

Feliciano

Other related posts/resources:

Comments
  • Ti notifico che ieri è stato rilasciato l'aggiornamento 9.3.2 di Adobe Reader.

    Risolve tale vulnerabilità?

    In ogni caso io, per precauzione e seguendo il workaround da te, come da altre fonti, segnalato, avevo già disabilitato la funzione di apertura files con estensioni diverse da pdf, e l'ho lasciata così anche dopo l'aggiornamento.

    Ho fatto bene?

    Grazie e saluti.

  • Ciao poohlover63. No, l'aggiornamento 9.3.2 di Adobe Reader non risolve tale problema. Quindi hai fatto bene a lasciare tale opzione disabilitata.

  • Grazie, Feliciano, per la tua sempre cortese e puntuale risposta.

    Ti auguro un felice week-end ed una buona domenica.

  • Approfitto della nostra amicizia per un chiarimento, che credo sia dovuto a quanto da te esposto nell'articolo in oggetto, relativamente ad un problema che mi si è presentato stasera, volendo ricercare nel mio computer files con estensione .pdf.

    Windows Explorer mi ha restituito scarsissimi risultati (tanto per citare un es., di tutti i vari manuali del mio Nero 9, non ne ha trovato nessuno).

    Potresti cortesemente fornirmi la tua cortese assistenza?

    Grazie e saluti.

  • Faccio seguito a quanto precedentemente scritto sul mio problema con Windows Explorer, per confermarti, al contrario, che, avendo proprio adesso effettuato, per verifica, una ricerca di files .doc, i risultati sono stati quelli sperati, cioè sono stati trovati tutti quelli presenti sui miei vari supporti.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment