Ο επικίνδυνος κόσμος του PDF

En αυτή η εξαιρετική θέση που βγήκε σήμερα στις Παρακολούθηση-Πληροφορίες, αναφέρεται μια από τις τελευταίες και πιο επικίνδυνες ευπάθειες των PDF, επιβεβαιώνοντας αυτό που θέσαμε η ανάρτηση μας χθες. Προωθώ το ηθικό της ιστορίας: καλύτερα χρησιμοποιήστε τη δωρεάν μορφή DJVU; είναι πιο ασφαλές και δημιουργεί μικρότερα αρχεία καλύτερης ποιότητας ... απλά δεν υποστηρίζεται από έναν "γίγαντα" όπως η Adobe.



Αυτές τις μέρες σε όλο τον κόσμο τη δουλειά που έκανε ο Didier Stevens για να εκτελεστούν τα δυαδικά αρχεία από ένα έγγραφο PDF. Η τεχνική, εάν χρησιμοποιείται Adobe Acrobat Reader, δείχνει ένα μήνυμα που μπορεί, όπως λέει ο ίδιος, να τροποποιηθεί εν μέρει. Σε ΦοξΑντιθέτως, δεν εμφανίζεται κανένα μήνυμα και εκτελούνται εντολές χωρίς προειδοποιήσεις.

Αυτή η τεχνική είναι απλή, απλή και επομένως πιο επικίνδυνη, αν θεωρήσουμε ότι η μορφή PDF ήταν η αγαπημένη των εκμεταλλευτών πέρυσι, φτάνοντας σε πολύ υψηλά επίπεδα εκμετάλλευσης.

Βλέποντας αυτό, θυμάμαι ότι σε πολλά άρθρα στο Διαδίκτυο, όταν μιλούν για το πώς να εκμεταλλευτούν τις ευπάθειες σε PDF λένε πράγματα όπως "Εντοπίστε την έκδοση του Acrobat που χρησιμοποιούν, με το FOCA, για παράδειγμα" και μετά χτίστε το exploit. Το φτωχό FOCA κολλήθηκε σε αυτές τις μελιτζάνες ...

Κάτι παρόμοιο με αυτό ήταν το demo που ετοιμάσαμε για την Ημέρα Ασφαλείας, στο οποίο εκμεταλλευτήκαμε μια ευπάθεια στο Acrobat Reader (συμπεριλαμβανομένης της έκδοσης 9) για να αποκτήσουμε ένα απομακρυσμένο Shell στον ευάλωτο υπολογιστή. Η εκμεταλλευόμενη ευπάθεια χαρακτηρίζεται ως CVE-2009-0927 και η λειτουργία του επιτρέπει την εκτέλεση οποιασδήποτε εντολής. Εάν το λογισμικό είναι ευάλωτο, θα λάβετε ένα μήνυμα όπως αυτό που εμφανίζεται στην ακόλουθη εικόνα:

Σχήμα 1: Εκτέλεση εκμετάλλευσης σε ευάλωτη μηχανή

Και η εκμετάλλευση που χρησιμοποιούμε ανακατευθύνει το Shell σε μια IP και μια θύρα στην οποία έχουμε ρυθμίσει το netcat να ακούει.

Σχήμα 2: Η Shell ελήφθη

Φυσικά, στο μηχάνημα που εκμεταλλεύτηκε, η διαδικασία Acrobat Reader εκτελείται, ακολουθώντας τις εντολές Shell

Σχήμα 3: Η διαδικασία Acrobat τρέχει

Βλέποντας τον κίνδυνο των εκμεταλλεύσεων PDF, αποφάσισα να το ανεβάσω στο VirusTotal, για να δω πώς συμπεριφέρονται οι μηχανές προστασίας από ιούς με αυτά τα κατορθώματα σε έγγραφα pdf. Είναι ιδιαίτερα σημαντικό να λάβουμε υπόψη τη συμπεριφορά του εάν μιλάμε για τη μηχανή που χρησιμοποιείται στο διαχειριστή email ή στο αποθετήριο εγγράφων, καθώς βρίσκεται σε αυτές τις περιοχές όπου μετακινούνται περισσότερα έγγραφα pdf. Το αποτέλεσμα, με αυτή τη συγκεκριμένη εκμετάλλευση, δεν ήταν κακό, αλλά ήταν έκπληξη το γεγονός ότι υπήρχαν ακόμη αρκετοί κινητήρες που δεν το ανιχνεύθηκαν, αλλά το ποσοστό δεν έφτασε το 50% και, μερικοί από αυτούς, τόσο εντυπωσιακοί όσο ο Kaspersky McAffe ή Fortinet.

Ως περιέργεια, μου φάνηκε να χρησιμοποιώ ένα πρόγραμμα συσκευασίας αρχείων για να δημιουργήσω εκτελέσιμα, παρόμοια με τα αγαπημένα μας κοκκινοδέτης του Thor, αλλά με λιγότερες λειτουργίες Jiji και υπήρχε φαίνεται στο Cyberhades, για να δούμε τι έκαναν οι μηχανές antimalware όταν βάζουμε το pdf exploit μέσα σε ένα πακέτο με επέκταση exe.

Εικόνα 5: Βάζουμε μόνο 1 αρχείο pdf
Εικόνα 6: Τι εκτελείται κατά την εξαγωγή

Αυτό το νέο εκτελέσιμο, όταν εκτελείται, ξεκινά το έγγραφο με το pdf exploit. Οι εναλλακτικές λύσεις που πέρασαν στο μυαλό μου ήταν: Α) αποσυμπιέζουν και οι άνθρωποι από πριν το ανακαλύψουν και Β) Πηγαίνουν κατευθείαν από την ανίχνευση του τι είναι μέσα και την υπογραφή του συσκευαστή. Ωστόσο, το αποτέλεσμα ήταν εκπληκτικό.

Μόνο 2 στους 42 το εντόπισαν, 1 ως ύποπτο και μόνο το VirusBuster γνώριζε τη μορφή και πήρε το πρόβλημα, για να αποσυσκευάσει το περιεχόμενο για να το σαρώσει.

Αφού το δείτε αυτό, φαίνεται πολύ σωστό ότι η Microsoft και η Adobe σκέφτονται να ενημερώσουν το λογισμικό μέσω του Windows Update και ότι η Microsoft έχει ανοίξει την πλατφόρμα Windows Update Services για να ενσωματώσει άλλες λύσεις, όπως το Windows Update agent Secunia CSI, το οποίο λειτουργεί με το System Center Configuration Manager και το WSUS.

Άκουσέ με καλύτερα χρησιμοποιήστε τη δωρεάν μορφή DJVU- Είναι πιο ασφαλές και δημιουργεί μικρότερα αρχεία καλύτερης ποιότητας.

πηγή: Παρακολούθηση-Πληροφορίες


2 σχόλια, αφήστε τα δικά σας

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   Marcoshipe dijo

    μια διευκρίνιση: το pdf είναι επίσης δωρεάν μορφή.
    και θα ήταν απαραίτητο να δούμε ποιος φταίει, εάν η μορφή (PDF) ή τα προγράμματα (Acrobat Reader, Foxit κ.λπ.) επειδή η μορφή μπορεί να είναι πολύ καλή, αλλά το πρόγραμμα που εκτελεί είναι πολύ κακό, και ότι Δεν σημαίνει ότι δεν υπάρχουν καλά προγράμματα που δεν συμβαίνουν σε αυτά (όλοι χρησιμοποιούν το Acrobat ή το Foxit, αλλά στο Linux έχουμε πολλές άλλες επιλογές, θα είναι ευάλωτα;)

    Δεν δοκίμασα ποτέ το djvu, τώρα κοιτάζω λίγο για να δω τι είναι, και έχει ένα μικρό πράγμα που δεν μου αρέσει σε αυτό το μικρό χρονικό διάστημα που το κοιτάζω, δεν μπορείτε να αντιγράψετε το κείμενο, αφού όλα είναι μια εικόνα. Δεν μου αρέσει έτσι, συνήθως αντιγράφω πράγματα από τα pdf που διαβάζω.
    Δεν ξέρω αν θα το χρησιμοποιούσα πολύ, νομίζω ότι προτιμώ να βελτιώσω τη μορφή pdf, που είναι διανυσματική.
    αφορά

  2.   Ας χρησιμοποιήσουμε το Linux dijo

    Αγαπητέ Marcos, τα σχόλιά σας είναι ακριβή. Το PDF ήταν ιδιόκτητη μορφή, αλλά από την 1η Ιουλίου 2008 είναι ανοιχτή μορφή.
    Τέλος πάντων, είναι αλήθεια αυτό που λέτε ότι μερικές φορές οι πελάτες / αναγνώστες έχουν να κάνουν με αυτό. Ένα σαφές παράδειγμα είναι η περίπτωση που αναφέρεται σε αυτήν την ανάρτηση.
    Και ναι, δεν μου αρέσει ούτε να αντιγράφω το κείμενο του .djvu. 🙁 Ωστόσο, στη σελίδα της Αγγλικής Wikipedia λέει ότι: «Έτσι, αντί να συμπιέζει ένα γράμμα« e »σε μια δεδομένη γραμματοσειρά πολλές φορές, συμπιέζει το γράμμα« e »μία φορά (ως συμπιεσμένη εικόνα bit) και στη συνέχεια καταγράφει κάθε μέρος στη σελίδα που εμφανίζεται.
    Προαιρετικά, αυτά τα σχήματα μπορούν να αντιστοιχιστούν σε κωδικούς ASCII (είτε με το χέρι είτε δυνητικά από ένα σύστημα αναγνώρισης κειμένου) και να αποθηκευτούν στο αρχείο DjVu. Εάν υπάρχει αυτή η αντιστοίχιση, μπορείτε να επιλέξετε και να αντιγράψετε κείμενο. » Αυτό σημαίνει ότι θα μπορούσατε να επιλέξετε κείμενο στο djvus.