Zeus sfrutta la vulnerabilità nel formato PDF per diffondersi

di Giuseppe Cutrone

Pubblicato 16 Aprile 2010
Aggiornato 12 Febbraio 2018 20:47

C’era da aspettarselo che non sarebbe passato molto dopo la segnalazione della scorsa settimana ad opera del ricercatore Didier Stevens, il quale ha evidenziato di aver scoperto una vulnerabilità insita nelle specifiche del formato PDF.

La falla, anche se chiamarla così è forse improprio vista le sue peculiarità, mette a rischio tutti i sistemi su cui vengono eseguiti dei file PDF, file in cui è possibile ospitare un eseguibile semplicemente sfruttando le modalità con cui i software come Adobe Reader, Foxit Reader e simili, comunicano con l’utente, il quale potrebbe dare il via, tramite un semplice click su una finestra recante un messaggio d’errore, all’esecuzione di codice pericoloso che andrebbe ad infettare il computer.

Il problema sembra adesso diventare più importante a causa dei primi attacchi che puntano all’installazione di Zeus, pericoloso crimeware che alimenta una delle botnet più pericolose in circolazione. Pare infatti che siano stati preparati alcuni documenti PDF fasulli distribuiti via email camuffati da documenti di fatturazione. Aprendo il file ricevuto si attivano una serie di finestre di dialogo cliccando sulle quali si scarica e installa Zeus, facendo diventare il PC parte di una botnet.

Unico “limite” dell’attacco pare essere quello di richiedere l’attivazione di JavaScript in Adobe Reader per essere in grado di far comparire le finestre di dialogo incriminate, rendendo quindi meno vulnerabili le macchine in cui JavaScript sia disattivato.

Tuttavia, avvisano gli esperti di sicurezza, l’attacco in questione è solo il primo ed è pertanto relativamente poco pericoloso perché meno sofisticato, ma potrebbe essere solo l’inizio di una serie, con il rischio che i cybercriminali diano vita ad una escalation fatta di attacchi sempre più mirati ed efficaci, con conseguenze negative sulla sicurezza di migliaia di macchine potenzialmente a rischio.

Da parte sua, Adobe ha fatto sapere di essere al lavoro su una patch in grado di correggere la vulnerabilità sui proprio software, ovvero Adobe Reader e Adobe Acrobat. Da valutare invece le risposte di altre software house.