Nebezpečný svět PDF

Alejandro (a.k.a KZKG^Gaara)

4 minut

 En tento vynikající příspěvek který vyšel dnes v Sledujte informaceje ohlášena jedna z posledních a nejnebezpečnějších zranitelností souborů PDF, která potvrzuje, o čem jsme hovořili náš včerejší příspěvek. Posunuji morálku příběhu: lépe použijte bezplatný formát DJVU; je bezpečnější a vytváří menší a kvalitnější soubory… prostě to nepodporuje „gigant“ jako Adobe.



V dnešní době to obíhá celý svět práce, kterou provedl Didier Stevens pro provádění binárních souborů z dokumentu PDF. Technika, pokud se používá Adobe Acrobat Reader, ukazuje zprávu, kterou lze, jak sám říká, částečně upravit. v FoxItnaopak se nezobrazí žádná zpráva a příkazy jsou prováděny bez upozornění.

Tato technika je jednoduchá, přímá, a proto nebezpečnější, vezmeme-li v úvahu, že formát PDF byl v loňském roce oblíbeným vykořisťovatelem a dosahoval velmi vysokých úrovní vykořisťování.

Když jsem to viděl, vzpomněl jsem si, že v mnoha článcích na internetu, když hovoří o tom, jak zneužít zranitelná místa v PDF, říkají věci jako „Vyhledejte verzi aplikace Acrobat, kterou používají, například pomocí FOCA“ a pak postavit exploit. Chudák FOCA uvízl v těch lilcích ...

Něco podobného bylo demo, které jsme připravili pro Den bezpečnosti, ve kterém jsme využili chybu zabezpečení v Acrobat Readeru (včetně verze 9), abychom získali vzdálený Shell na zranitelném počítači. Využívaná chyba zabezpečení je typická jako CVE-2009-0927 a jeho provoz umožňuje vykonat jakýkoli příkaz. Pokud je software zranitelný, zobrazí se vám zpráva podobná té na následujícím obrázku:

Obrázek 1: Provedení zneužití na zranitelném počítači

A zneužití, které používáme, přesměrovává Shell na IP a port, na kterém jsme nastavili netcat, aby naslouchal.

Obrázek 2: Přijato prostředí

Samozřejmě na zneužívaném stroji běží proces Acrobat Reader, který se stará o příkazy prostředí.

Obrázek 3: Proces aplikace Acrobat běží explodoval

Když jsem viděl nebezpečí zneužití PDF, rozhodl jsem se jej nahrát na VirusTotal, abych zjistil, jak se antivirové motory chovají s těmito zneužití v dokumentech PDF. Je obzvláště důležité vzít v úvahu jeho chování, pokud mluvíme o enginu používaném ve správci e-mailů nebo v úložišti dokumentů, protože se jedná o území, kde se pohybuje více dokumentů PDF. Výsledek, s tímto konkrétním zneužitím, nebyl špatný, ale bylo překvapivé, že stále existoval dobrý počet motorů, které jej nezjistily, ale procento nedosáhlo 50% a některé z nich byly tak nápadné jako Kaspersky, McAffe nebo Fortinet.

Jako zvědavost mě napadlo použít generátor spustitelných souborů, jako je náš drahý, pomocí balíku souborů redbinder Thor, ale s menšími funkcemi Jiji a bylo vidět v Cyberhades, abychom zjistili, co dělaly antimalwarové motory, když jsme umístili exploit PDF do balíčku s příponou exe.

Obrázek 5: Vložili jsme pouze 1 soubor PDF

Obrázek 6: Co se provádí při extrahování

Tento nový spustitelný soubor při spuštění spustí dokument s využitím souboru PDF. Alternativy, které mě napadly, byly: A) rozbalili to a lidé z doby před objevením a B) jdou přímo zjistit, co je uvnitř, a podepsat balírnu, ale výsledek byl překvapivý.

Pouze 2 ze 42 to detekovaly, 1 jako podezřelý, a pouze VirusBuster znal formát a vzal si problém, aby obsah rozbalil a naskenoval.

Poté, co jsem to viděl, se mi zdá velmi správné, že Microsoft a Adobe uvažují o aktualizaci softwaru prostřednictvím Windows Update a že Microsoft otevřel svou platformu Windows Update Services pro integraci dalších řešení, jako je agent Windows Update Secunia CSI, který pracuje s System Center Configuration Manager a WSUS.

Poslouchej mě lépe použijte bezplatný formát DJVU- Je bezpečnější a vytváří menší a kvalitnější soubory.

zdroj: Sledujte informace


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   Marcoshipe řekl
    před 11 let

    vysvětlení: pdf je také bezplatný formát.
    a bylo by nutné zjistit, čí je to chyba, zda formát (PDF) nebo programy (Acrobat Reader, Foxit atd.), protože formát může být velmi dobrý, ale program, který jej provádí, je velmi špatný, a že není Znamená to, že neexistují dobré programy, aby se jim to nestalo (všechny používají Acrobat nebo Foxit, ale v Linuxu máme mnohem více možností, budou tyto zranitelné?)

    Nikdy jsem nezkoušel djvu, teď se trochu podívám, abych zjistil, co to je, a má malou věc, která se mi nelíbí za tu malou dobu, kdy se na ni podívám, nemůžete kopírovat text, protože všechno je obrázek. Nelíbí se mi to tak, obvykle kopíruji věci z pdf, které jsem četl.
    Nevím, jestli bych to hodně používal, myslím, že bych raději vylepšil formát pdf, který je vektorový.
    jde o

    Odpovědět marcoshipe
  2.   Pojďme použít Linux řekl
    před 11 let

    Vážení Marcos, vaše komentáře jsou na místě. PDF byl proprietární formát, ale od 1. července 2008 je to otevřený formát.
    Každopádně je pravda, co říkáte, že někdy s tím mají zákazníci / čtenáři hodně společného. Jasným příkladem je případ, který je uveden v tomto příspěvku.
    A ano, taky se mi nelíbí, že nemohu kopírovat text .djvu. 🙁 Na stránce anglické Wikipedie se však říká, že: «Tedy místo toho, aby písmeno« e »bylo v daném písmu vícekrát komprimováno, bylo písmeno« e »stlačeno jednou (jako komprimovaný bitový obrázek) a poté zaznamená každé místo na stránce se vyskytuje.
    Tyto tvary mohou být případně mapovány na kódy ASCII (ručně nebo potenciálně systémem pro rozpoznávání textu) a uloženy v souboru DjVu. Pokud toto mapování existuje, je možné vybrat a kopírovat text. » Což znamená, že můžete vybrat text v djvus.

    Odpovězte na Pojďme používat Linux