Adobe Acrobat Reader: Urgente! Vulnerabilidade Zero-Day Descoberta em Dezembro
Uma grave vulnerabilidade zero-day no Adobe Acrobat Reader permite o roubo de dados e o controle total do computador através de um documento PDF infectado.
Um pesquisador de segurança identificou uma séria vulnerabilidade zero-day no Adobe Acrobat Reader. Essa falha tem sido ativamente explorada por cibercriminosos através de documentos PDF específicos há pelo menos quatro meses. A vulnerabilidade permite a coleta de diversos dados do computador. A Adobe, empresa de software californiana, ainda não lançou uma correção.
Não abra PDFs baixados ou recebidos de fontes desconhecidas
Haifei Li, fundador da EXPMON (plataforma que detecta exploits), informou que uma vulnerabilidade zero-day do Adobe Acrobat Reader está sendo explorada em vários ataques desde dezembro. Não se sabe como o exploit chega aos computadores das vítimas, mas basta abrir um documento PDF específico para iniciar a infecção.
O documento contém um código JavaScript oculto que permite coletar várias informações sobre o computador, incluindo a versão do sistema operacional, que são posteriormente enviadas para um servidor controlado pelos cibercriminosos. A análise do documento revelou vestígios em russo. Outros payloads são baixados do servidor, permitindo a criação de uma impressão digital (fingerprinting) do dispositivo.
Se certas condições forem atendidas (a localização do usuário é detectada através do endereço IP), um ataque subsequente é executado, permitindo a execução remota de código e o bypass da sandbox. Na prática, os cibercriminosos assumem o controle completo do computador.
O pesquisador verificou que o exploit funciona com a versão mais recente do Acrobat Reader (26.001.21367) lançada em 2 de abril. O pesquisador reportou a vulnerabilidade à Adobe, mas a correção ainda não foi distribuída.
Enquanto aguardamos a atualização, os usuários não devem abrir documentos PDF baixados ou recebidos de fontes desconhecidas. O exploit pode ser detectado com uma ferramenta de monitoramento de tráfego. Os endereços dos servidores remotos são 169.40.2.68:45191 e 188.214.34.20:34123. Alternativamente, pode-se procurar a string “Adobe Synchronizer” no campo User Agent do tráfego HTTP/HTTPS. Quaisquer documentos suspeitos podem ser enviados para a EXPMON para análise.
Recomendações de Segurança
Para se proteger contra esta e outras ameaças, é crucial:
• Manter o software atualizado: Embora a Adobe ainda não tenha lançado uma correção para esta vulnerabilidade específica, manter todos os seus programas atualizados é uma prática essencial de segurança.
• Desconfiar de anexos e links: Evite abrir documentos PDF de remetentes desconhecidos ou de fontes não confiáveis.
• Utilizar soluções de segurança: Um bom antivírus e firewall podem ajudar a detectar e bloquear atividades maliciosas.
• Monitorar o tráfego de rede: Ferramentas de monitoramento podem ajudar a identificar padrões de tráfego incomuns que possam indicar uma infecção.
Essa vulnerabilidade zero-day no Adobe Acrobat Reader é um lembrete crítico da importância da vigilância constante na segurança digital. Fique sempre atento as regrinhas básicas de segurança. Se desconfiar do link, do arquivo, ou seja o que for, melhor nem ebrir ou clicar.
