Adobe Reader: mais de 50 vulnerabilidades detetadas em 50 dias

A Check Point realizou uma experiência para testar a efetividade dos fuzzers na procura automática de vulnerabilidades no Adobe Reader. Os resultados foram surpreendentes, uma vez que esta ferramenta detetou uma média de uma ameaça por dia nos testes efetuados.

O ano de 2017 foi o ponto de inflexão no panorama das vulnerabilidades. O número de novas vulnerabilidades reportadas nesse ano rondou as 14 mil, o que representa o dobro relativamente ao ano anterior. A explicação encontrada pela equipa de investigação da Check Point Software para o sucedido prende-se com o aumento da popularidade das ferramentas de procura automática de vulnerabilidades, também conhecidas como fuzzers.

A existência de fuzzers não é, por si só, uma notícia. Os fuzzers têm estado em ação por mais de duas décadas. A notícia está no seu crescimento. Os fuzzers tornaram-se mais poderosos, mais acessíveis e, acima de tudo, mais experientes. Ainda assim, a utilização de fuzzers está de alguma forma relacionada com uma “arte obscura”. Muitos investigadores não se importam com esta ferramenta uma vez que é considerada difícil de utilizar.

Cada vez mais investigadores estão a utilizar fuzzers para encontrar mais vulnerabilidades, mas será que “todos” os investigadores estão a utilizar fuzzers com a finalidade de encontrar a “totalidade” das vulnerabilidades?

Para responder a estas questões foram criadas experiências onde se podia pensar e explorar. Pegou-se num dos enquadramentos mais comuns de fuzzing do Windows, WinAFL, e dirigiu-se ao Adobe Reader, que é um dos softwares mais conhecidos no mundo. Estabeleceu-se uma janela temporal de 50 dias para realizar todo o processo – engenharia inversa de código, procura por potenciais bibliotecas vulneráveis, perigos de escrita e, finalmente, foi corrido o fuzzer.

Os resultados deixaram toda a equipa bastante surpreendida. Nesses 50 dias, foi possível detetar mais de 53 novas vulnerabilidades no Adobe Reader e no Adobe Pro. O que corresponde, em média, a uma vulnerabilidade por dia – um ritmo muito pouco usual para este tipo de pesquisa.

Este processo foi repetido para diferentes ficheiros tais como imagens, descodificadores de stream e módulos xlt.

O Adobe Reader quando utilizado em sandbox, e o Reader em Modo Protegido aumentam substancialmente a complexidade de exploração de uma falha dentro da sandbox num sistema comprometido, que normalmente requer outra exploração de PE, tal como acontece numa situação de sistemas não protegidos.

Enquanto a equipa de pesquisa da Check Point utilizou o WinAFL, foram encontrados um número de bugs/funcionalidades em falta. A Check Point deu assistência para todas as novas funcionalidades e corrigiu essas falhas. Isto incluiu acrescentar assistência para a aplicação de verificação do Windows 10, afinidades de CPU para colaboradores, corrigindo alguns bugs e adicionando novas características GUI.