Opasni svijet PDF-a

Alejandro (a.k.a KZKG^Gaara)

4 minuta

 En ovaj izvrstan post koji je izašao danas u Follow-Info, izvještava se o jednoj od posljednjih i najopasnijih ranjivosti PDF-ova, što potvrđuje ono u čemu smo pokrenuli naš jučerašnji post. Unapređujem moral priče: bolje koristite DJVU slobodni format; sigurniji je i stvara manje, kvalitetnije datoteke ... to jednostavno ne podržava "gigant" kao što je Adobe.



Ovih dana to ide oko svijeta posao koji je Didier Stevens obavio na izvršenju binarnih datoteka iz PDF dokumenta. Tehnika, ako se koristi Adobe Acrobat Reader, pokazuje poruku koja se može, kako sam kaže, djelomično izmijeniti. In FoxItnaprotiv, ne prikazuje se poruka i izvršavaju se naredbe bez upozorenja.

Ova je tehnika jednostavna, jednostavna, a samim tim i opasnija ako uzmemo u obzir da je PDF format bio omiljen među eksploatatorima prošle godine, dostigavši ​​vrlo visok nivo eksploatacije.

Vidjevši to, sjetio sam se da u mnogim člancima na Internetu, kada govore o tome kako iskoristiti ranjivosti u PDF-u, govore stvari poput "Pronađite verziju Acrobata koju koriste, na primjer, sa FOCA" a zatim izgraditi exploit. Jadna FOCA zaglavila se u tim patlidžanima ...

Nešto slično tome bio je demo koji smo pripremili za Dan sigurnosti, u kojem smo iskoristili ranjivost u programu Acrobat Reader (uključujući verziju 9) kako bismo na ranjivi računar dobili udaljenu školjku. Eksploatisana ranjivost je tipična kao CVE-2009-0927 a njegova operacija omogućava izvršavanje bilo koje naredbe. Ako je softver ranjiv, dobit ćete poruku poput one koja se vidi na sljedećoj slici:

Slika 1: Izvršenje eksploata na ranjivoj mašini

A eksploatacija koju koristimo preusmjerava Shell na IP i port na koji smo postavili netcat da sluša.

Slika 2: Primljena granata

Naravno, na iskorištenom računaru pokrenut je postupak Acrobat Reader, koji prati naredbe Shell.

Slika 3: Acrobat-ov pokrenut proces je eksplodirao

Uvidjevši opasnost od iskorištavanja PDF-a, odlučio sam ga prenijeti na VirusTotal kako bih vidio kako se antivirusni pokretači ponašaju s tim iskorištavanjima u pdf dokumentima. Posebno je važno uzeti u obzir njegovo ponašanje ako govorimo o mehanizmu koji se koristi u upravitelju e-pošte ili u spremištu dokumenata, jer je to na onim teritorijama na kojima se kreće više pdf dokumenata. Rezultat, s ovom konkretnom eksploatacijom, nije bio loš, ali bilo je iznenađujuće da je i dalje postojao dobar broj motora koji ga nisu otkrili, ali taj postotak nije dosegao 50%, a neki od njih, jednako upečatljivi kao Kaspersky, McAffe ili Fortinet.

Kao znatiželju, palo mi je na pamet da koristim paket za pakovanje datoteka za generisanje izvršnih datoteka, sličnih našim dragim redbinder Thor-a, ali s manje funkcionalnosti Jiji i bilo je viđeno u Cyberhadesu, da vidimo što su antimalware motori učinili kada smo pdf exploit stavili unutar paketa s exe nastavkom.

Slika 5: Stavili smo samo 1 pdf datoteku

Slika 6: Šta se izvršava prilikom izdvajanja

Ovaj novi izvršni program, kada se pokrene, pokreće dokument s pdf exploit-om. Alternative koje su mi pale na pamet bile su: A) raspakiraju ga i ljudi prije nego što su to otkrili i B) Odu direktno da otkriju šta je unutra i potpišu paket, ali rezultat je bio iznenađujući.

Samo 2 od 42 su ga otkrila, 1 kao osumnjičenog, a samo je VirusBuster znao format i potrudio se raspakirati sadržaj da bi ga skenirao.

Nakon što ovo vidim, čini mi se vrlo tačnim da Microsoft i Adobe razmišljaju o ažuriranju softvera putem Windows Update i da je Microsoft otvorio svoju platformu Windows Update Services kako bi integrirao druga rješenja kao što je Windows Update agent Secunia CSI, koji radi sa System Center Configuration Manager i WSUS.

Slušaj me bolje koristite DJVU slobodni format- Sigurniji je i stvara manje, kvalitetnije datoteke.

Izvor: Follow-Info


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Marcoshipe rekao je
    čini 11 godina

    pojašnjenje: pdf je također slobodan format.
    i bilo bi potrebno vidjeti čija je greška, ako format (PDF) ili programi (Acrobat Reader, Foxit, itd.) jer format mogu biti vrlo dobri, ali program koji ga izvršava je vrlo loš, i to nije To znači da nema dobrih programa da im se to ne dogodi (svi koriste Acrobat ili Foxit, ali u Linuxu imamo mnogo više opcija, hoće li biti ranjivi?)

    Nikad nisam probao djvu, sad malo gledam da vidim šta je, a ima i sitnicu koja mi se ne sviđa u ovo malo vremena koliko je gledam, ne možete kopirati tekst, jer je sve slika. Ne sviđa mi se na taj način, obično kopiram stvari iz PDF datoteka koje sam pročitao.
    Ne znam bih li ga puno koristio, mislim da više volim poboljšati pdf format, koji je vektorski.
    pozdravi

    Odgovoriti na marcoshipe
  2.   Koristimo Linux rekao je
    čini 11 godina

    Dragi Markose, vaši komentari su na mjestu. PDF je vlasnički format, ali od 1. jula 2008. otvoren je format.
    U svakom slučaju, istina je ono što kažete da kupci / čitatelji ponekad imaju puno veze s tim. Jasan primjer je slučaj koji je objavljen u ovom postu.
    I da, ni ja ne volim što ne mogu kopirati tekst .djvu. 🙁 Međutim, na engleskoj Wikipedijinoj stranici stoji da: «Dakle, umjesto da više puta komprimira slovo« e »u datom fontu, jednom komprimuje slovo« e »(kao komprimiranu bitnu sliku), a zatim bilježi svako mjesto na stranici se to događa.
    Po želji se ovi oblici mogu preslikati na ASCII kodove (bilo ručno ili potencijalno pomoću sistema za prepoznavanje teksta) i pohraniti u datoteku DjVu. Ako ovo mapiranje postoji, moguće je odabrati i kopirati tekst. » Što znači da biste mogli odabrati tekst u djvusu.

    Odgovorite na Koristimo Linux