Um pesquisador de cibersegurança está instando os usuários a atualizarem o Adobe Acrobat Reader após o lançamento de uma correção ontem para uma vulnerabilidade crítica de execução remota de código zero-day, com um exploit de conceito de prova (proof-of-concept) divulgado publicamente.
A falha é rastreada como CVE-2024-41869 e é uma vulnerabilidade crítica de "use after free" que pode levar à execução remota de código ao abrir um documento PDF especialmente criado.
Um bug de "use after free" acontece quando um programa tenta acessar dados em uma localização de memória que já foi liberada ou desalocada.
Isso causa comportamentos inesperados, como um programa travando ou congelando.
No entanto, se um ator de ameaças conseguir armazenar código malicioso nessa localização de memória, e o programa subsequentemente acessá-lo, isso poderia ser usado para executar código malicioso no dispositivo alvo.
A falha agora foi corrigida nas últimas versões do Acrobat Reader e Adobe Acrobat.
O zero-day do Acrobat Reader foi descoberto em junho através do EXPMON, uma plataforma baseada em sandbox criada pelo pesquisador de cibersegurança Haifei Li para detectar exploits avançados como zero-days ou exploits difíceis de detectar (desconhecidos).
"Criei o EXPMON porque percebi que não havia sistemas de detecção e análise baseados em sandbox focando especificamente na detecção de ameaças sob a perspectiva de um exploit ou vulnerabilidade," disse Li.
Todos os outros sistemas fazem detecção sob uma perspectiva de malware.
A perspectiva de exploit/vulnerabilidade é muito necessária se você quiser uma detecção mais avançada (ou, precoce).
Por exemplo, se nenhum malware é soltado ou executado devido a certas condições, ou se o ataque não usa nenhum malware de forma alguma, esses sistemas perderiam tais ameaças.
Exploits operam de forma bastante diferente do malware, então uma abordagem diferente é necessária para detectá-los.
O zero-day foi descoberto após um grande número de amostras de uma fonte pública serem submetidas ao EXPMON para análise.
Essas amostras incluíam um PDF contendo um exploit de prova de conceito que causava uma falha.
Embora o exploit de PoC seja um trabalho em andamento e não contenha payloads maliciosos, foi confirmado que explora um bug de "use after free", que poderia ser usado para execução remota de código.
Após Li divulgar a falha para a Adobe, uma atualização de segurança foi lançada em agosto.
No entanto, a atualização não corrigiu a falha e ainda poderia ser acionada após o fechamento de vários diálogos.
"Testamos a amostra (exatamente a mesma) na versão 'corrigida' do Adobe Reader, ela exibiu diálogos adicionais, mas se o usuário clicasse/fechasse esses diálogos, o aplicativo ainda travava! Mesmo bug UAF!," tweetou a conta EXPMON X.
Ontem, a Adobe lançou uma nova atualização de segurança que corrige o bug, agora rastreado como CVE-2024-41869.
Li estará liberando detalhes sobre como o bug foi detectado no blog do EXPMON e mais informações técnicas em um vindouro relatório da Check Point Research.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...