Un investigador de ciberseguridad insta a los usuarios a actualizar Adobe Acrobat Reader después de que se publicara una corrección para un 0 day de ejecución remota de código con un exploit de prueba de concepto público.
El fallo se registra como CVE-2024-41869 y es una vulnerabilidad crítica que podría conducir a la ejecución remota de código al abrir un documento PDF especialmente diseñado.
Un fallo de «uso después de liberar» se produce cuando un programa intenta acceder a datos en una ubicación de memoria que ya ha sido liberada o desbloqueada. Esto provoca un comportamiento inesperado, como el bloqueo o la congelación del programa.
Sin embargo, si un actor de amenazas es capaz de almacenar código malicioso en esa ubicación de memoria y el programa accede a ella posteriormente, podría utilizarse para ejecutar código malicioso en el dispositivo objetivo.
El fallo ya se ha corregido en las últimas versiones de Acrobat Reader y Adobe Acrobat.
Exploit PoC descubierto en junio
El 0 day de Acrobat Reader se descubrió en junio a través de EXPMON, una plataforma basada en sandbox creada por el investigador de ciberseguridad Haifei Li para detectar exploits avanzados como 0 days o exploits difíciles de detectar (desconocidos).
«Creé EXPMON porque me di cuenta de que no existían sistemas de detección y análisis basados en sandbox que se centraran específicamente en la detección de amenazas desde el punto de vista de los exploits o las vulnerabilidades».
«Todos los demás sistemas hacen la detección desde la perspectiva del malware. La perspectiva de exploit/vulnerabilidad es muy necesaria si se quiere una detección más avanzada (o, temprana).»
«Por ejemplo, si no se lanza o ejecuta malware debido a determinadas condiciones, o si el ataque no utiliza ningún tipo de malware, esos sistemas pasarían por alto esas amenazas. Los exploits funcionan de forma muy distinta al malware, por lo que se necesita un enfoque diferente para detectarlos.»
El 0 day se descubrió después de que un gran número de muestras procedentes de una fuente pública se enviaran a EXPMON para su análisis. Estas muestras incluían un PDF que contenía un exploit de prueba de concepto que provocaba un bloqueo.
Aunque el exploit PoC es un trabajo en curso y no contiene cargas útiles maliciosas, se confirmó que aprovechaba un fallo de «usuario después de libre», que podría utilizarse para la ejecución remota de código.
Después de que Li revelara el fallo a Adobe, se publicó una actualización de seguridad en agosto. Sin embargo, la actualización no corregía el fallo y podía seguir activándose tras cerrar varios cuadros de diálogo.
«Probamos la muestra (exactamente la misma) en la versión «parcheada» de Adobe Reader, que mostraba cuadros de diálogo adicionales, pero si el usuario hacía clic en ellos o los cerraba, la aplicación se bloqueaba. El mismo error UAF», tuiteó la cuenta EXPMON X.
Adobe publicó una nueva actualización de seguridad que corrige el fallo, ahora rastreado como CVE-2024-41869.
Li publicará detalles sobre cómo se detectó el fallo en el blog de EXPMON y más información técnica en un próximo informe de Check Point Research.