|
En dette fremragende indlæg der kom ud i dag i Follow-Info, rapporteres en af de sidste og farligste sårbarheder i PDF-filer, der bekræfter, hvad vi rejste i vores indlæg i går. Jeg fremmer historiens moral: bedre brug det gratis DJVU-format; det er mere sikkert og skaber mindre filer af bedre kvalitet ... det understøttes bare ikke af en "kæmpe" som Adobe. |
I disse dage går det rundt i verden det arbejde, som Didier Stevens har udført for at få binærfiler udført fra et PDF-dokument. Teknikken, hvis den bruges Adobe Acrobat Reader, viser en besked, der kan, som han selv siger, delvis modificeres. I FoxIttværtimod vises der ingen besked, og kommandoer udføres uden advarsler.
Denne teknik er enkel, ligetil og derfor meget farligere, hvis vi tager i betragtning, at PDF-formatet var favorit blandt udnyttere sidste år og nåede meget høje niveauer af udnyttelse.
Når jeg ser dette, har jeg husket, at når de taler om, hvordan man udnytter sårbarheder i PDF, i mange artikler på Internettet, siger de ting som "Find den version af Acrobat, de bruger, f.eks. Med FOCA" og bygg derefter udnyttelsen. Den stakkels FOCA sidder fast i de ægplanter ...
Noget der lignede det var den demo, vi forberedte til sikkerhedsdagen, hvor vi udnyttede en sårbarhed i Acrobat Reader (inklusive version 9) for at få en ekstern Shell på den sårbare computer. Den udnyttede sårbarhed er betegnet som CVE-2009-0927 og dens funktion gør det muligt at udføre enhver kommando. Hvis softwaren er sårbar, får du en besked som den, der ses i følgende billede:
Og den udnyttelse, vi bruger, omdirigerer Shell til en IP og en port, som vi har indstillet netcat til at lytte til.
Selvfølgelig kører Acrobat Reader-processen i den udnyttede maskine og tager sig af Shell-kommandoerne.
Da jeg så faren ved PDF-udnyttelse, besluttede jeg at uploade den til VirusTotal for at se, hvordan antivirusmotorer opfører sig med disse udnyttelser i pdf-dokumenter. Det er især vigtigt at tage hensyn til dens adfærd, hvis vi taler om motoren, der bruges i e-mail-manager eller i dokumentopbevaringsområdet, da det er i de områder, hvor flere pdf-dokumenter flytter. Resultatet med denne særlige udnyttelse var ikke dårligt, men det var overraskende, at der stadig var et stort antal motorer, der ikke registrerede det, men procentdelen nåede ikke 50% og nogle af dem lige så slående som Kaspersky, McAffe eller Fortinet.
Som en nysgerrighed forekom det mig at bruge en filpakker til at generere eksekverbare filer, der ligner vores kære Rødbinder af Thor, men med mindre funktionalitet kaldet Jiji og der var set i Cyberhades, for at se hvad antimalwaremotorer gjorde, da vi placerede pdf-udnyttelsen i en pakke med en exe-udvidelse.
Denne nye eksekverbare, når den køres, lancerer dokumentet med pdf-udnyttelsen. Alternativerne, der kom igennem mit sind, var: A) de pakker det ud, og folkene fra før opdager det, og B) De går direkte for at opdage, hvad der er indeni og underskriver pakkeren, men resultatet var overraskende.
Kun 2 ud af 42 opdagede det, 1 som mistænkt, og kun VirusBuster kendte formatet og tog besværet med at pakke indholdet ud for at scanne det.
Efter at have set dette, virker det meget korrekt, at Microsoft og Adobe overvejer at opdatere software via Windows Update, og at Microsoft har åbnet sin Windows Update Services-platform for at integrere andre løsninger såsom Windows Update-agent Secunia CSI, som fungerer med System Center Configuration Manager og WSUS.
Lyt bedre til mig brug det gratis DJVU-format- er mere sikker og opretter mindre filer af bedre kvalitet.
kilde: Follow-Info
en afklaring: pdf er også et gratis format.
og det ville være nødvendigt at se, hvis fejl det er, hvis formatet (PDF) eller programmerne (Acrobat Reader, Foxit osv.), fordi formatet kan være meget godt, men det program, der udfører det, er meget dårligt, og at er ikke Det betyder, at der ikke er nogen gode programmer, som dette ikke sker for dem (de bruger alle Acrobat eller Foxit, men i Linux har vi mange flere muligheder, vil disse være sårbare?)
Jeg har aldrig prøvet djvu, nu ser jeg lidt for at se, hvad det er, og det har en lille ting, som jeg ikke kan lide i denne lille tid, at jeg ser på det, du kan ikke kopiere teksten, da alt er et billede. Jeg kan ikke lide det på den måde, jeg kopierer normalt ting fra de pdfs, jeg læser.
Jeg ved ikke, om jeg ville bruge det meget, jeg tror, jeg foretrækker at forbedre pdf-formatet, som er vektor.
hensyn
Kære Marcos, dine kommentarer er ukomplicerede. PDF var et proprietært format, men siden 1. juli 2008 er det et åbent format.
Alligevel er det sandt, hvad du siger, at kunder / læsere undertiden har meget at gøre med det. Et klart eksempel er tilfældet, der rapporteres i dette indlæg.
Og ja, jeg kan heller ikke lide at ikke være i stand til at kopiere teksten til .djvu. 🙁 På den engelske Wikipedia-side står det imidlertid at: «I stedet for at komprimere et bogstav« e »i en given skrifttype flere gange komprimerer det altså bogstavet« e »en gang (som et komprimeret bitbillede) og registrerer derefter hvert sted på siden forekommer det.
Eventuelt kan disse figurer kortlægges til ASCII-koder (enten manuelt eller potentielt af et tekstgenkendelsessystem) og gemmes i DjVu-filen. Hvis denne kortlægning findes, er det muligt at vælge og kopiere tekst. » Hvilket betyder, at du kunne vælge tekst i djvus.