GFSistemas Ecuador - Es posible utilizar un PDF para robar las credenciales de Windows?
01
Mayo
(0 votos)

Blog

Es posible utilizar un PDF para robar las credenciales de Windows?

Los usuarios cada vez tienen más “enemigos”. Aunque no hayan nacido con esa idea, expertos en seguridad han encontrado evidencias de que los archivos PDF se pueden utilizar para robar contraseñas de los usuarios de los sistemas operativos Windows. No se necesita ningún tipo iteración por parte del usuario, solo la apertura del fichero. Del resto ya se encarga el código introducido entre el contenido del fichero.

 

De acuerdo con la investigación realizada por parte de Assaf Baharav, colaborador de la empresa especializada en temas de seguridad Check Point, que esto sea posible se debe a dos funciones existentes en estos archivos, conocidas con el nombre de GoToE y GoToR. ¿Qué permiten estas funciones? La respuesta es muy sencilla: realizar la carga de contenidos ubicados en servidores, como, por ejemplo, un recursos SMB.

Esto permite que el archivo cread, no sea peligroso de entrada, aunque sí lo puede llegar a ser si se establece comunicación con este recurso. Es decir, la apertura de archivos PDF de estas características en un equipo que no cuenta con conexión a Internet los convierte en totalmente inofensivos.

Demostrar que los PDF se pueden utilizar para robar información

Para demostrar esto que hemos mencionado anteriormente, el investigador creó un documento PDF que utiliza las dos funciones citadas anteriormente. Cuando se realice la apertura de este archivo, realizará una petición a un servicio remoto. Además, se contará con el hash NTLM para realizar acciones de inicio de sesión.

Confeccionando este tipo de archivos, parece bastante clara su utilidad. Por un lado, realizar el robo de la información. Una vez recopilada, llevar a cabo el envío de la información a un servidor para su posterior almacenamiento.

¿En qué situación se encuentran los lectores de PDFs?

Lo primero, indicar que esta situación se trata de algo que afecta al funcionamiento de los lectores de este tipo de documentos. Baharav ha probado con Adobe Reader y con Foxit, y el resultado ha sido el mismo en ambos.

Tras las pruebas, se reportó el comportamiento a ambas empresas desarrolladoras. Sin embargo, la respuesta ha sido negativa por ambas partes. En el caso de Foxit, ni siquiera se ha contestado. Y por parte de Adobe, han indicado que no tienen pensado modificar el funcionamiento de su software por ese “problema”.

Si ir más lejos, desde Microsoft se ha publicado una recomendación para desactivar todo lo relacionado con NTLM. Obviamente, esto es algo que depende del propio usuario. Muchos no se percatarán de esto y lo mantendrán activo.

Archivos PDF y otros

El software evoluciona y los tipos de fichero clásicos han evolucionado, siendo capaces de poseer un mayor número de funciones e información. Podríamos decir que hasta aquí, todo es correcto.

El problema es que los ciberdelincuentes cuentan con la capacidad y astucia para utilizar estas funciones y convertirlas en perjudiciales para los usuarios. En la mayoría de los casos, se utilizan para realizar la instalación de software malicioso o bien llevar a cabo el robo de información. Es decir, como el caso que nos ocupa en este artículo. Correos electrónicos de Outlook, documentos de Microsoft Office, enlaces y así hasta completar un listado bastante amplio.

No existen una normas fijas para protegerse de estas prácticas. Tal vez, la mejor opción sea vigilar desde qué páginas realizamos la descarga de los archivos. De esta forma, seremos capaces de mantener alejados este tipo de ficheros de nuestro equipo.

Modificado por última vez en Mayo 01, 2018
Jorge Aguilar

En los últimos años he ayudado a profesionales y empresas a lograr un incremento sostenible en ventas y posicionar de una mejor forma su marca, en este blog compartiré muchos temas de actualidad e interés.

Sitio Web: gfsistemas.net

Asesoría Inmediata
(02)604 6802  
(02)604 6803

Contacto directo, Respuesta Inmediata 099 8933 278

Diseñamos Páginas Web Profesionales

Consultoría

Un servicio exclusivo para profesionales que quieren crear su marca personal, potenciar su presencia online o que quieren vender productos y servicios a través de Internet.

CUÉNTANOS CÓMO PODEMOS AYUDARTE

Nuestras Marcas
ecuador 360 gfm  paraiso host

Ventas: ventas@gfsistemas.net

SOPORTE TÉCNICO