Zero-Day descubierto en Adobe Reader DC

El investigador de seguridad Alex Infüh ha descubierto una vulnerabilidad en versiones de Adobe Reader DC 2019.010.20069 y anteriores, la cual permitiría a un atacante robar los hashes NTLM de las contraseñas de las víctimas.

Esta vulnerabilidad autoriza que al momento de abrir un documento PDF, se envíe automáticamente una solicitud SMB al servidor de un atacante, en dicha solicitud por defecto se encontrarían los hashes NTLM.

Este fallo de Adobe aún no posee CVE, sin embargo, utiliza una función similar al CVE-2018-4993 con la diferencia de que explota la carga de una hoja XML remota a través de la solicitud SMB y no la carga automática de otro PDF desde un recurso compartido remoto.

Si bien el usuario puede recibir una notificación en pantalla sobre una advertencia de seguridad si el documento intenta cargar la hoja XML a través de HTTP, no sucede lo mismo cuando el atacante utiliza una ruta UNC (ruta que denota un recurso en una carpeta compartida).

La empresa de seguridad 0Patch lanzó un “micropatch” para la vulnerabilidad, el cual consiste en agregar un diálogo de seguridad a Adobe Reader donde si el usuario selecciona “Si”, se carga la hoja (se envía la solicitud SMB al servidor remoto), y si selecciona “No”, no se realiza la carga. En el siguiente video se muestra el funcionamiento del “micropatch”.

Un portavoz de Adobe ha confirmado que la compañía lanzará una actualización de seguridad en el transcurso de esta semana.

..Hasta el próximo post.!

DataProtect.!