La danĝera mondo de PDF

En ĉi tiu bonega afiŝo tio aperis hodiaŭ en Sekva Informo, unu el la lastaj kaj plej danĝeraj vundeblecoj de PDFoj estas raportita, konfirmante tion, en kio ni levis nia afiŝo hieraŭ. Mi antaŭenigas la moralon de la rakonto: pli bone uzu la senpagan formaton de DJVU; ĝi estas pli sekura kaj kreas pli malgrandajn, pli bonkvalitajn dosierojn ... ĝi simple ne estas subtenata de "giganto" kiel Adobe.



Nuntempe ĝi ĉirkaŭiras la mondon la laboro, kiun Didier Stevens faris por ekzekuti ciferecaĵojn el PDF-dokumento. La tekniko, se ĝi estas uzata Adobe Acrobat Reader, montras mesaĝon, kiu povas esti, kiel li mem diras, parte modifita. En FoxItmale, neniu mesaĝo montriĝas kaj ordonoj estas plenumitaj sen atentigoj.

Ĉi tiu tekniko estas simpla, simpla kaj do pli danĝera, se ni konsideras, ke la PDF-formato estis la plej ŝatata de ekspluatantoj pasintjare, atingante tre altajn nivelojn de ekspluatado.

Vidante ĉi tion, mi memoris, ke en multaj artikoloj en interreto, kiam ili parolas pri kiel ekspluati vundeblecojn en PDF, ili diras aferojn kiel "Trovu la version de Acrobat, kiun ili uzas, kun FOCA, ekzemple" kaj tiam konstruu la ekspluatadon. La kompatinda FOCA blokita en tiuj melongenoj ...

Io simila al tio estis la demonstraĵo, kiun ni preparis por Sekureca Tago, en kiu ni ekspluatis vundeblecon en Acrobat Reader (inkluzive version 9) por akiri foran Ŝelon sur la vundebla komputilo. La ekspluatata vundebleco estas tipigita kiel CVE-2009-0927 kaj ĝia funkciado permesas plenumi iun ajn komandon. Se la programaro estas vundebla, vi ricevos mesaĝon kiel tiun viditan en la sekva bildo:

Figuro 1: Ekzekuto de ekspluato sur vundebla maŝino

Kaj la ekspluatado, kiun ni uzas, redirektas la Ŝelon al IP kaj haveno, sur kiu ni starigis la retkaton aŭskulti.

Figuro 2: Ŝelo ricevita

Kompreneble, sur la ekspluatita maŝino, la procezo Acrobat Reader funkcias, atentante la komandojn de Shell.

Figuro 3: Akrobata procezo eksplodanta eksplodis

Vidante la danĝeron de PDF-ekspluatadoj, mi decidis alŝuti ĝin al VirusTotal, por vidi kiel kondutas antivirusaj motoroj kun ĉi tiuj ekspluatadoj en pdf-dokumentoj. Speciale gravas konsideri sian konduton, se ni parolas pri la motoro uzata en la retpoŝta administrilo aŭ en la dokumentujo, ĉar ĝi estas en tiuj teritorioj, kie pli da pdf-dokumentoj moviĝas. La rezulto, kun ĉi tiu speciala ekspluatado, ne estis malbona, sed surprizis, ke ankoraŭ ekzistas multaj motoroj, kiuj ne detektis ĝin, sed la procento ne atingis 50% kaj, iuj el ili, tiel okulfrapaj kiel Kaspersky, McAffe aŭ Fortinet.

Kiel kuriozaĵo, venis al mi en la penson uzi dosier-pakilon por generi efektivigeblajn, simile al nia kara Redbindisto de Thor, sed kun malpli da funkcioj nomataj Jiji kaj estis vidita en Cyberhades, por vidi, kion faris la kontraŭmalware-motoroj, kiam ni metis la pdf-ekspluaton en pakaĵon kun ekz-etendaĵo.

Figuro 5: Ni metas nur 1 pdf-dosieron
Figuro 6: Kio estas plenumata dum ĉerpado

Ĉi tiu nova plenumebla lanĉilo lanĉas la dokumenton kun la pdf-ekspluatado. La alternativoj, kiuj venis al mi en la kapon, estis: A) ili elpakas ĝin kaj homoj de antaŭe malkovras ĝin kaj B) Ili rekte preterlasas tion, kio estas interne kaj subskribas la pakiston, sed la rezulto estis surpriza.

Nur 2 el 42 detektis ĝin, 1 kiel suspektato, kaj nur VirusBuster konis la formaton kaj prenis la problemon malpaki la enhavon por skani ĝin.

Vidinte ĉi tion, ŝajnas al mi tre ĝuste, ke Microsoft kaj Adobe pripensas ĝisdatigi programojn per Vindoza Ĝisdatigo kaj ke Microsoft malfermis sian platformon Vindoza Ĝisdatiga Servo por integri aliajn solvojn kiel ekzemple Vindoza Ĝisdatiga agento Secunia CSI, kiu funkcias kun System Center Configuration Manager kaj WSUS.

Aŭskultu min pli bone uzu la senpagan formaton de DJVU- estas pli sekura kaj kreas pli malgrandajn, pli bonkvalitajn dosierojn.

Fonto: Sekva Informo


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

2 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Marcoshipe diris

    klarigo: pdf ankaŭ estas senpaga formato.
    kaj necesus vidi, kies kulpo ĝi estas, se la formato (PDF) aŭ la programoj (Acrobat Reader, Foxit, ktp.) ĉar la formato povas esti tre bona, sed la programo, kiu plenumas ĝin, estas tre malbona, kaj ke ĉu ne? Signifas, ke ne ekzistas bonaj programoj, ke tio ne okazas al ili (ili ĉiuj uzas Acrobat aŭ Foxit, sed en Linukso ni havas multe pli da ebloj, ĉu ĉi tiuj estos vundeblaj?)

    Mi neniam provis djvu, nun mi iomete rigardas por vidi, kio ĝi estas, kaj ĝi havas iomete, kion mi ne ŝatas en ĉi tiu malmulta tempo, kiam mi rigardas ĝin, vi ne povas kopii la tekston, ĉar ĉio estas bildo. Mi ne ŝatas ĝin tiel, mi kutime kopias aferojn el la pdf-oj, kiujn mi legis.
    Mi ne scias, ĉu mi multe uzus ĝin, mi pensas, ke mi preferas plibonigi la pdf-formaton, kiu estas vektoro.
    salutojn

  2.   Ni uzu Linukso diris

    Kara Marcos, viaj komentoj estas rimarkindaj. PDF estis proprieta formato, sed ekde la 1-a de julio 2008 ĝi estas malferma formato.
    Ĉiuokaze estas vere, kion vi diras, ke kelkfoje klientoj / legantoj multe rilatas al ĝi. Klara ekzemplo estas la kazo raportita en ĉi tiu afiŝo.
    Kaj jes, mi ankaŭ ne ŝatas ne povi kopii la tekston de la .djvu. 🙁 Tamen sur la anglalingva Vikipedio-paĝo ĝi diras, ke: «Tiel anstataŭ anstataŭ kunpremi literon« e »en donita tiparo plurfoje, ĝi kunpremas la literon« e »unufoje (kiel kunpremita bita bildo) kaj poste registras ĉiun lokon. sur la paĝo ĝi okazas.
    Laŭvole, ĉi tiuj formoj povas esti mapitaj al kodoj ASCII (aŭ permane aŭ eble per teksta rekona sistemo), kaj konservitaj en la dosiero DjVu. Se ĉi tiu mapado ekzistas, eblas elekti kaj kopii tekston. » Kio signifas, ke vi povus elekti tekston en la djvus.