العالم الخطير لقوات الدفاع الشعبي

En هذا المنشور الممتاز التي صدرت اليوم في متابعة المعلومات، تم الإبلاغ عن واحدة من آخر وأخطر نقاط الضعف في ملفات PDF ، مما يؤكد ما أثيرناه منشورنا أمس. أنا أطور أخلاقيات القصة: أفضل استخدم تنسيق DJVU المجاني؛ إنه أكثر أمانًا وينشئ ملفات أصغر حجمًا وأفضل جودة ... إنه غير مدعوم من قبل "عملاق" مثل Adobe.



هذه الأيام تدور حول العالم العمل الذي قام به ديدييه ستيفنز لتنفيذ ثنائيات من مستند PDF. التقنية ، إذا تم استخدامها أدوبي أكروبات ريدر، يعرض رسالة يمكن تعديلها جزئيًا ، كما يقول هو نفسه. في FoxItعلى العكس من ذلك ، لا يتم عرض أي رسالة ويتم تنفيذ الأوامر دون أي تنبيهات.

هذه التقنية بسيطة ومباشرة وبالتالي فهي أكثر خطورة ، إذا اعتبرنا أن تنسيق PDF كان المفضل للمستغلين العام الماضي ، حيث وصل إلى مستويات عالية جدًا من الاستغلال.

عند رؤية هذا ، تذكرت أنه في العديد من المقالات على الإنترنت ، عندما يتحدثون عن كيفية استغلال الثغرات الأمنية في ملف PDF يقولون أشياء مثل "حدد موقع إصدار Acrobat الذي يستخدمونه ، مع FOCA ، على سبيل المثال" ومن ثم بناء الثغرة. فقير FOCA عالق في تلك الباذنجان ...

شيء مشابه لذلك كان العرض التوضيحي الذي أعددناه ليوم الأمان ، والذي استغلنا فيه ثغرة أمنية في Acrobat Reader (بما في ذلك الإصدار 9) للحصول على Shell عن بعد على الكمبيوتر المعرض للخطر. يتم تصنيف الثغرة الأمنية المستغلة على أنها CVE-2009-0927 وعملياته تسمح بتنفيذ أي أمر. إذا كان البرنامج ضعيفًا ، فستتلقى رسالة مثل تلك التي تظهر في الصورة التالية:

الشكل 1: تنفيذ الاستغلال على آلة ضعيفة

والاستغلال الذي نستخدمه يعيد توجيه Shell إلى IP والمنفذ الذي قمنا بتعيين netcat للاستماع إليه.

الشكل 2: تلقت شل

بالطبع ، في الجهاز الذي تم استغلاله ، تجري عملية Acrobat Reader ، مع مراعاة أوامر Shell.

الشكل 3: انفجرت عملية Acrobat قيد التشغيل

نظرًا لخطر عمليات استغلال PDF ، قررت تحميله على VirusTotal ، لمعرفة كيف تتصرف محركات مكافحة الفيروسات مع هذه الثغرات في مستندات pdf. من المهم بشكل خاص أن نأخذ سلوكه في الاعتبار إذا كنا نتحدث عن المحرك المستخدم في مدير البريد الإلكتروني أو في مستودع المستندات ، لأنه في تلك المناطق حيث يتم نقل المزيد من مستندات pdf. النتيجة ، مع هذا الاستغلال بالذات ، لم تكن سيئة ، لكن كان من المدهش أنه لا يزال هناك عدد جيد من المحركات التي لم تكتشفها ، لكن النسبة لم تصل إلى 50٪ ، وبعضها مذهل مثل Kaspersky ، ماكافي أو فورتينت.

من باب الفضول ، خطر لي استخدام برنامج تجميع الملفات لإنشاء ملفات قابلة للتنفيذ ، على غرار عزيزي ريدبيندر من Thor ، ولكن مع وظائف أقل تسمى جيجي وكان هناك شوهد في Cyberhades، لمعرفة ما فعلته محركات مكافحة البرامج الضارة عندما وضعنا استغلال pdf داخل حزمة بامتداد exe.

الشكل 5: نضع ملف pdf واحد فقط
الشكل 6: ما يتم تنفيذه عند الاستخراج

هذا الملف القابل للتنفيذ الجديد ، عند تشغيله ، يقوم بتشغيل المستند باستخدام ملف pdf. كانت البدائل التي خطرت في بالي هي: أ) فكها والناس من قبل يكتشفونها و ب) يذهبون مباشرة من اكتشاف ما بداخله وتوقيعه ، ومع ذلك ، كانت النتيجة مفاجئة.

اكتشفه 2 فقط من أصل 42 ، 1 باعتباره مشبوهًا وفقط VirusBuster هو الذي يعرف التنسيق ، وتولى المشكلة ، لفك المحتوى لفحصه.

بعد رؤية ذلك ، يبدو لي أنه من الصحيح تمامًا أن Microsoft و Adobe تفكران في تحديث البرنامج من خلال Windows Update وأن Microsoft قد فتحت نظام Windows Update Services الخاص بها لدمج حلول أخرى مثل وكيل Windows Update Secunia CSI، والذي يعمل مع مدير تكوين مركز النظام و WSUS.

استمع لي بشكل أفضل استخدم تنسيق DJVU المجاني- إنه أكثر أمانًا وينشئ ملفات أصغر حجمًا وأفضل جودة.

مصدر: متابعة المعلومات


2 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   ماركوشيبي قال

    توضيح: pdf هو أيضًا تنسيق مجاني.
    وسيكون من الضروري معرفة من هو الخطأ ، إذا كان التنسيق (PDF) أو البرامج (Acrobat Reader ، Foxit ، إلخ) لأن التنسيق يمكن أن يكون جيدًا جدًا ، لكن البرنامج الذي ينفذه سيء ​​جدًا ، وهذا لا يعني ذلك أنه لا توجد برامج جيدة لا يحدث لها هذا (كلهم يستخدمون Acrobat أو Foxit ، لكن في Linux لدينا العديد من الخيارات ، هل ستكون عرضة للخطر؟)

    لم أحاول djvu مطلقًا ، والآن أنظر قليلاً لأرى ما هو ، ولديها شيء صغير لا أحبه في هذا الوقت القصير الذي أنظر إليه ، لا يمكنك نسخ النص ، لأن كل شيء هو صورة. لا أحب ذلك بهذه الطريقة ، فعادة ما أنسخ الأشياء من ملفات PDF التي قرأتها.
    لا أعرف ما إذا كنت سأستخدمه كثيرًا ، أعتقد أنني أفضل تحسين تنسيق pdf ، وهو ناقل.
    تحياتي

  2.   لنستخدم لينكس قال

    عزيزي ماركوس ، تعليقاتك على الفور. كان تنسيق PDF ملكية خاصة ، ولكن منذ 1 يوليو 2008 أصبح تنسيقًا مفتوحًا.
    على أي حال ، صحيح أن ما تقوله هو أنه في بعض الأحيان يكون للعملاء / القراء علاقة كبيرة به. مثال واضح هو الحالة التي تم الإبلاغ عنها في هذا المنشور.
    ونعم ، لا أحب عدم القدرة على نسخ نص .djvu أيضًا. 🙁 ومع ذلك ، في صفحة Wikipedia الإنجليزية تقول: «وهكذا ، بدلاً من ضغط حرف« e »في خط معين عدة مرات ، فإنه يضغط الحرف« e »مرة واحدة (كصورة بت مضغوطة) ثم يسجل كل مكان على الصفحة يحدث.
    اختياريًا ، قد يتم تعيين هذه الأشكال إلى أكواد ASCII (إما يدويًا أو ربما بواسطة نظام التعرف على النص) ، وتخزينها في ملف DjVu. إذا كان هذا التعيين موجودًا ، فمن الممكن تحديد النص ونسخه. » مما يعني أنه يمكنك تحديد نص في djvus.