|
En dieser ausgezeichnete Beitrag das kam heute in heraus Follow-InfoEs wird eine der letzten und gefährlichsten Sicherheitslücken von PDFs gemeldet, die bestätigt, was wir angesprochen haben unser Beitrag gestern. Ich bringe die Moral der Geschichte voran: besser Verwenden Sie das kostenlose DJVU-Format;; Es ist sicherer und erstellt kleinere Dateien mit besserer Qualität. Es wird von einem "Riesen" wie Adobe einfach nicht unterstützt. |
In diesen Tagen geht es um die Welt die Arbeit, die Didier Stevens geleistet hat, um Binärdateien aus einem PDF-Dokument auszuführen. Die Technik, wenn sie verwendet wird Adobe Acrobat Readerzeigt eine Nachricht, die, wie er selbst sagt, teilweise modifiziert werden kann. Im FoxItIm Gegenteil, es wird keine Nachricht angezeigt und Befehle werden ohne Warnungen ausgeführt.
Diese Technik ist einfach, unkompliziert und daher gefährlicher, wenn man bedenkt, dass das PDF-Format im letzten Jahr der Favorit der Exploiter war und einen sehr hohen Exploit-Level erreichte.
Als ich das sah, erinnerte ich mich daran, dass sie in vielen Artikeln im Internet, wenn sie darüber sprechen, wie man Schwachstellen in PDF ausnutzt, Dinge wie sagen "Suchen Sie die Version von Acrobat, die sie verwenden, z. B. mit FOCA." und dann den Exploit erstellen. Die arme FOCA steckte in diesen Auberginen ...
Ähnlich war die Demo, die wir für den Sicherheitstag vorbereitet haben, in der wir eine Sicherheitsanfälligkeit in Acrobat Reader (einschließlich Version 9) ausgenutzt haben, um eine Remote-Shell auf dem anfälligen Computer zu installieren. Die ausgenutzte Sicherheitsanfälligkeit wird als typisiert CVE-2009-0927 und seine Operation erlaubt es, jeden Befehl auszuführen. Wenn die Software anfällig ist, erhalten Sie eine Meldung wie in der folgenden Abbildung:
Und der Exploit, den wir verwenden, leitet die Shell an eine IP und einen Port weiter, auf den wir den Netcat zum Abhören eingestellt haben.
Auf dem ausgenutzten Computer wird natürlich der Acrobat Reader-Prozess ausgeführt, wobei die Shell-Befehle ausgeführt werden.
Angesichts der Gefahr von PDF-Exploits habe ich beschlossen, diese auf VirusTotal hochzuladen, um zu sehen, wie sich Antiviren-Engines mit diesen Exploits in PDF-Dokumenten verhalten. Es ist besonders wichtig, sein Verhalten zu berücksichtigen, wenn es sich um die im E-Mail-Manager oder im Dokumenten-Repository verwendete Engine handelt, da in diesen Gebieten mehr PDF-Dokumente verschoben werden. Das Ergebnis mit diesem speziellen Exploit war nicht schlecht, aber es war überraschend, dass es immer noch eine gute Anzahl von Motoren gab, die es nicht erkannten, aber der Prozentsatz erreichte nicht 50% und einige von ihnen waren so auffällig wie Kaspersky. McAffe oder Fortinet.
Aus Neugier kam mir der Gedanke, einen Dateipacker zu verwenden, um ausführbare Dateien zu generieren, ähnlich wie bei uns Rotbinder von Thor, aber mit weniger Funktionen genannt Jiji und da war gesehen in Cyberhades, um zu sehen, was die Antimalware-Engines getan haben, als wir den PDF-Exploit in ein Paket mit einer exe-Erweiterung eingefügt haben.
Diese neue ausführbare Datei startet beim Ausführen das Dokument mit dem PDF-Exploit. Die Alternativen, die mir in den Sinn kamen, waren: A) Sie packen es aus und die Leute von früher entdecken es und B) Sie gehen direkt davon aus, zu erkennen, was sich darin befindet, und den Packer zu signieren. Das Ergebnis war jedoch überraschend.
Nur 2 von 42 erkannten es, 1 als verdächtig und nur VirusBuster kannte das Format und machte sich die Mühe, den Inhalt zum Scannen zu entpacken.
Nachdem dies gesehen wurde, scheint es sehr richtig zu sein, dass Microsoft und Adobe erwägen, Software über Windows Update zu aktualisieren, und dass Microsoft seine Windows Update Services-Plattform geöffnet hat, um andere Lösungen wie den Windows Update-Agenten zu integrieren Secunia CSI, das mit System Center Configuration Manager und WSUS funktioniert.
Hör mir besser zu Verwenden Sie das kostenlose DJVU-Format- Es ist sicherer und erstellt kleinere Dateien mit besserer Qualität.
Quelle: Follow-Info
eine Klarstellung: pdf ist auch ein freies Format.
und es wäre notwendig zu sehen, wessen Fehler es ist, ob das Format (PDF) oder die Programme (Acrobat Reader, Foxit usw.), weil das Format sehr gut sein kann, aber das Programm, das es ausführt, ist sehr schlecht, und das ist nicht Es bedeutet, dass es keine guten Programme gibt, denen dies nicht passiert (alle verwenden Acrobat oder Foxit, aber unter Linux haben wir viel mehr Optionen, sind diese anfällig?)
Ich habe djvu nie ausprobiert, jetzt schaue ich ein bisschen nach, um zu sehen, was es ist, und es hat ein kleines Ding, das ich in dieser kurzen Zeit, in der ich es mir anschaue, nicht mag. Sie können den Text nicht kopieren, da alles ist ein Bild. Ich mag es nicht so, ich kopiere normalerweise Dinge aus den PDFs, die ich lese.
Ich weiß nicht, ob ich es oft benutzen würde, ich denke, ich bevorzuge es, das PDF-Format zu verbessern, das Vektor ist.
Grüße
Lieber Marcos, deine Kommentare sind genau richtig. PDF war ein proprietäres Format, aber seit dem 1. Juli 2008 ist es ein offenes Format.
Wie auch immer, es ist wahr, was Sie sagen, dass Kunden / Leser manchmal viel damit zu tun haben. Ein klares Beispiel ist der Fall, über den in diesem Beitrag berichtet wird.
Und ja, ich mag es auch nicht, den Text der .djvu nicht kopieren zu können. 🙁 Auf der englischen Wikipedia-Seite heißt es jedoch: «Anstatt einen Buchstaben« e »in einer bestimmten Schriftart mehrmals zu komprimieren, komprimiert er den Buchstaben« e »einmal (als komprimiertes Bitbild) und zeichnet dann jede Stelle auf auf der Seite tritt es auf.
Optional können diese Formen ASCII-Codes zugeordnet werden (entweder von Hand oder möglicherweise von einem Texterkennungssystem) und in der DjVu-Datei gespeichert werden. Wenn diese Zuordnung vorhanden ist, können Sie Text auswählen und kopieren. » Dies bedeutet, dass Sie Text im DJVUS auswählen können.