Un usuario anónimo subió un archivo PDF a la plataforma online VirusTotal con el fin de ver si este era detectado por alguno de los más de 50 motores antivirus que tiene esta plataforma o, de lo contrario, ninguna de ellas lo detectaba. Este fichero PDF aparentemente parecía inofensivo y perfectamente podría haberse tratado de un usuario que, tras descargarlo, quería verificar que efectivamente no ocultaba nada. Sin embargo, parece que este fichero PDF escondía algo bastante grave.
Este fichero PDF llamó enseguida la atención de varios investigadores de seguridad suscritos a la plataforma, investigadores que en breve empezaron a analizarlo en profundidad. Dentro de este fichero PDF han podido encontrar dos exploits muy peligrosos que se aprovechaban de dos fallos de seguridad aún desconocidos en el software de Adobe y en Windows.
La vulnerabilidad de Adobe (CVE-2018-4990) es un fallo de ejecución de código remoto, mientras que el fallo de seguridad en Windows (CVE-2018-8120) es un fallo de escalada de privilegios para poder ejecutar código con el máximo nivel de permisos. El fichero PDF no incluía el payload final y no estaba completo al 100%, por lo que se cree que nunca se ha llegado a utilizar.
Ni este PDF malicioso, ni tampoco los exploits que escondía, se habían visto nunca en la red hasta que fueron enviados a VirusTotal. No se sabe bien por qué llegó este PDF a esta plataforma de seguridad online, si fue por parte de alguien que lo consiguió de alguna manera o por parte de algún pirata informático novato que no sabe que todos los archivos que se envían a VirusTotal son reenviados a las empresas de seguridad y a investigadores, aunque estén aparentemente limpios, para un análisis en profundidad.
Lo que sí es seguro es que, gracias a VirusTotal, hemos podido evitar una serie de ataques informáticos muy peligrosos pudiendo conocer la vulnerabilidad antes de que esta fuera utilizada para poner en peligro la seguridad de los usuarios.
Actualiza Windows y Adobe para protegerte de estas dos vulnerabilidades
Este PDF fue detectado en marzo de este mismo año, y en la segunda semana de mayo Microsoft y Adobe lanzaron sus correspondientes parches de seguridad sin dar detalles concretos sobre estos fallos. Sin embargo, con el fin de dar a los administradores de sistemas tiempo suficiente para actualizar sus infraestructuras, no ha sido hasta ahora cuando Microsoft y Adobe han hecho públicas las vulnerabilidades que han sido detectadas gracias a este PDF subido a VirusTotal.
Para protegernos de estos dos fallos y hacer que estos exploits no sirvan para nada lo que debemos hacer es instalar los últimos parches de seguridad de Windows y de Adobe. Estas vulnerabilidades ya fueron solucionadas la segunda semana de mayo con los correspondientes parches, por lo que, instalando estos parches ya estaremos totalmente protegidos.
