A cura di Davide Mancini, responsabile Computer Forensic-GAT Nucleo Speciale Frodi TelematicheAdobe System Incorporated ha promesso che a partire dall’ 11 Marzo inizierà a rilasciare una serie di aggiornamenti atti a prevenire l’esecuzione di codice maligno sulle postazione degli utilizzatori dei propri software.
Ad essere minacciati sono gli utenti che utilizzano la versione 9 e precedenti di “Adobe Reader” e “Adobe Acrobat” – Standard, Pro e Pro Extended -, insomma praticamente tutti; sembrerebbe, infatti, che, sebbene sia stato verificato solo su piattaforme della Microsoft, gli esperti non escludono che possa agire anche su sistemi Linux e Mac OS X.
I primi a lanciare l’allarme sono stati i tecnici della Fondazione Shadowserver che alcuni giorni fa hanno segnalato la falla.
Poche ore dopo, la software-house californiana, riscuotendo il compiacimento per la celerità dagli stessi guardiani della Rete, rilasciava un bollettino nel quale veniva riportato l’avvertimento.
Nel frattempo la Symantec garantiva un costante contatto con la Adobe al fine di assicurare adeguate contromisure alla comune clientela, anche se l’antivirus, come quello di altre case, già riconosceva la traccia virale.
Patrick Fitzgerald, un ricercatore dell’azienda di sicurezza, ha spiegato che la vulnerabilità è causata da un errore nel parsing della particolare struttura interna del formato PDF.
In sostanza una volta aperto il documento appositamente manipolato viene avviato del codice Javascript al suo interno che va ad infettare l’elaboratore.
La backdoor che viene spalancata al pirata informatico prende forma da un toolkit open source Cinese chiamato “Gh0st” e consente ogni sorta di controllo del personal computer: dalla visualizzazione del desktop, alla registrazione dei tasti digitati fino all’accesso da remoto alla macchina.
Il pacchetto sembrerebbe essere stato “confezionato” appositamente per colpire personaggi di rilievo all’interno di importanti realtà commerciali, ai quali, una volta ottenuto il loro indirizzo di posta elettronica dal sito web ufficiale, inoltrare allegati in formato PDF alterati con la speranza, una volta inoculato il trojan, di riuscire ad impossessarsi di documenti riservati.
Il problema in tutti i casi potrebbe investire chiunque; si pensi ad un piccolo risparmiatore che si avvale dei servizi online offerti dal proprio istituto di credito, che, dopo aver visualizzato i messaggi presenti nella sua casella di posta, va a controllare il proprio conto-corrente: in un istante il criminale, magari distante qualche migliaio di chilometri, riceve comodamente sul suo computer i riferimenti del log-in appena effettuato.
Tutti quanti sono concordi, in attesa delle patch, nel consigliare di tenere gli strumenti di protezione aggiornati e di disabilitare il Javascript nei prodotti della Adobe.
È necessario però tener presente a titolo precauzionale che anche se quest’ultimo accorgimento sarà in grado di prevenire l’infezione, potrebbe causare il crash dell’applicazione con la conseguente perdita dei dati sui quali si stava lavorando.
