Asegurar Acrobat Reader para mitigar virus

8

Además de las actualizaciones de parches, ¿hay alguna forma de mitigar los riesgos con las vulnerabilidades de Adobe Reader? Francamente, no sé cómo funcionan la mayoría de las hazañas de los lectores. Sin embargo, ¿hay alguna funcionalidad que pueda desactivar en el lector que lo haga más seguro contra la mayoría de las vulnerabilidades?

Brett G
fuente

Respuestas:

4

Desafortunadamente, Adobe Reader ha tenido numerosas vulnerabilidades de seguridad graves en los últimos años, y aunque Adobe se ha centrado un poco más en la seguridad últimamente (estableciendo su Equipo de Respuesta a Incidentes de Seguridad del Producto (PSIRT)), es prudente suponer que se encontrarán nuevas vulnerabilidades y explotado.

Lo más importante que puede hacer es:

  • Lea la Guía de seguridad del lector, disponible en https://www.adobe.com/devnet/acrobat/security.html

  • En particular, deshabilite Javascript si es posible estableciendo bEnableJS en HKEY_CURRENT_USER \ Software \ Adobe \ Adobe Acrobat \ 9.0 \ JSPrefs en 0. Muchos de los exploits recientes han utilizado el soporte de Javascript.

  • Esté atento al blog de PSIRT y al Centro de tormentas de ISC para detectar nuevas vulnerabilidades.

  • Establezca un régimen de parches continuo que garantice el despliegue rápido de nuevas versiones y erradique activamente las versiones antiguas.

  • Adobe PSIRT anunció públicamente una falla grave el 14 de diciembre de 2009, pero un parche no estuvo disponible hasta mediados de enero de 2010. Para intervalos de tiempo como este, debe tener un plan para mitigar los controles de seguridad, por ejemplo, el bloqueo de archivos PDF en pasarelas de correo y web proxies.

  • Considere el uso de lectores de PDF alternativos (Mac OS X tiene soporte incorporado, Foxit Reader y otros pueden ser una alternativa en la plataforma de Windows)

oddbjorn
fuente
6

Deshabilitar Javascript en Reader ayudará un poco. Además, habilite la función "Seguridad mejorada" (está activada de forma predeterminada en Reader 9.3 y 8.2).

MattB
fuente
Por desgracia, creo que Reader le pedirá al usuario que vuelva a activar Javascript cuando encuentre JavaScript. ¿Es posible desactivar Javascript permanentemente para que un no administrador no pueda volver a activarlo?
Knox
@ Knox: lamentablemente no creo que sea posible. Se puede configurar mediante una política de grupo mediante una clave de registro y puede eliminar los derechos de los usuarios a esa clave, pero aún pueden activarla en la sesión actual de Reader.
MattB
eso entendí la última vez que lo investigué. Lo estamos deshabilitando a través del registro.
Knox
3

En realidad no, muchas de las vulnerabilidades recientes han estado en el procesamiento de JavaScript o JPEG, por lo que si está dispuesto a deshabilitar las imágenes y JS, puede obtener una pequeña sensación falsa de seguridad.

El modo de seguridad mejorado sí ayuda, pero muchos de los exploits recientes han tenido la capacidad de salir de la caja de arena autoimpuesta.

El problema con los errores de Adobe Reader es que es un campo no examinado. Seguro, ha habido errores en Reader desde tiempos inmemoriales y la gente los ha descubierto, pero solo recientemente los auditores han empezado a buscar errores.

Además, y posiblemente se agrava el problema es la falta de desbordamiento del búfer en los productos de Adobe (en términos comparativos, Microsoft) en el pasado. Para aquellos que no están familiarizados, el desbordamiento de Buffer fue EL defecto programático para explotar alrededor de 1989-2005. Por lo tanto, Adobe ha estado montando en un falso aire de seguridad durante bastante tiempo. Ahora que las vulnerabilidades altamente complejas, como las condiciones de desreferencia de puntos libres de uso después y los desbordamientos de enteros que conducen al envenenamiento por puntero de función, se están volviendo cada vez más populares para explotar en los productos de Adobe, Adobe está luchando para revisar el código en busca de vulnerabilidades (he oído anecdóticamente que Adobe solo mantuvo 3 personas en el personal para el control de calidad de seguridad en toda la empresa antes de CVE-2009-0189).

En resumen, las vulns podrían estar en cualquier lugar, así que solo practique la debida diligencia, en este caso particular, eso significa mantener AV actualizado y mantener su IPS / Firewall.

ŹV -
fuente
2

Adobe tiene un historial extremadamente malo de seguridad. Recomiendo evitar sus productos tanto como sea posible. En mi sistema Linux utilizo XPDF, que es de código abierto y hay una versión de Windows. Sumatra es otro visor de PDF de código abierto para Windows.

Torre
fuente
1

Por lo poco que vale, los usuarios que he podido privar de los privilegios de administrador local están perfectamente seguros. ;) (Sin embargo, las opciones de MattB son mucho más útiles).

Kara Marfia
fuente
+1 por no permitir que los usuarios tengan privilegios de administrador local.
MattB
-1 por inexactitud: privar a los usuarios de los privilegios de administrador local ayuda, pero no son perfectamente seguros. Existen múltiples vulnerabilidades de AR que permiten la escalada local de priv (a nivel de administrador) desde un usuario no privado ( adobe.com/support/security/advisories/apsa08-02.html ) ( adobe.com/africa/support/security/bulletins/apsb09- 10.html )
Josh Brower