Adobe si esprime sui recenti attacchi ai documenti PDF

Adobe ha confermato l’esistenza della problematica portata alla luce, nei giorni scorsi, dal ricercatore belga Didier Stevens e che potrebbe essere sfruttata, da parte di malintenzionati, per indurre gli utenti di Acrobat e Reader ad avviare un file eseguibile nocivo, “allegato” ad un comune documento PDF.

La possibilità di eseguire file .exe “integrati” direttamente nel documento PDF fa parte delle specifiche del formato. Stevens ha infatti preferito non definire il problema come una vera e propria vulnerabilità quanto come di una falla “by design“.

La medesima lacuna, come mostrato da Jeremy Conway, potrebbe essere sfruttata dagli aggressori per mettere a punto una sorta di “worm” in grado di bersagliare tutti i documenti PDF. Come evidenziato anche da Stevens, Adobe Reader espone una finestra di avviso quando in procinto di aprire un file eseguibile “inglobato” in un PDF. Il messaggio di allerta può comunque essere modificato dal malintenzionato in modo da spronare l’utente ad accettare l’avvio del file .exe “embeddato” (ci venga passato il termine…) nel documento PDF.
Conway, guardandosi bene dal pubblicare il codice exploit messo a punto, ha poi mostrato come – acconsentendo all’avvio del file nocivo “incatenato” al PDF – un aggressore potrebbe sfruttare la falla “by design” per modificare il comportamento di altri documenti in formato PDF memorizzati sul sistema in uso. Nel suo esempio, Conway ha causato un redirect verso un sito web specifico al momento dell’apertura di qualunque documento PDF.

Adobe, da parte sua, ha in queste ore proposto una soluzione che consiste nel disattivare l’opzione Consenti apertura di file allegati diversi da PDF con applicazioni esterne dal menù Modifica, Preferenze, Gestore affidabilità. Dopo aver disabilitato l’impostazione, attiva per default, il codice exploit il cui funzionamento era stato illustrato poco prima di Pasqua da Didier Stevens non funzionerà più. Il medesimo intervento può essere posto in essere anche dagli utenti di Adobe Acrobat.

A beneficio degli amministratori, impostando a 0 il valore DWORD bAllowOpenFile nella chiave del registro HKEY_CURRENT_USERSoftwareAdobeAcrobat Reader9.0Originals (ove 9.0 va sostituito con la versione di Reader in uso, si otterrà un risultato analogo.
Per assicurarsi che gli utenti non siano in grado di riattivare l’opzione, è possibile creare ed impostare a 1 il valore DWORD bSecureOpenFile (sempre all’interno della stessa chiave del registro di Windows).

Non è ancora chiaro come Adobe abbia intenzione di risolvere il problema attraverso il rilascio di un aggiornamento per i propri prodotti. Quella presentata in questi giorni è infatti considerata da Adobe come un’utile funzionalità che diventa pericolosa solamente se usata in modo scorretto.

Foxit Software ha recentemente rilasciato un aggiornamento per Foxit Reader. La situazione di questo lettore di file PDF era ancor più complicata dal momento che, all’atto dell’apertura di documenti contenenti eseguibili “embedded”, non veniva mostrata all’utente alcuna finestra di avviso. La più recente versione di Foxit Reader adesso mostra un messaggio di allerta prima di consentire eventualmente l’esecuzione del file “allegato” al documento PDF.

Altre informazioni sulla problematica sono reperibili facendo riferimento a questi articoli.