 |
En este excelente post que saíu hoxe en Información de seguimento, denúnciase unha das últimas e máis perigosas vulnerabilidades dos PDF, confirmando o que plantexamos o noso post onte. Adianto a moral da historia: mellor usa o formato libre de DJVU; é máis seguro e crea ficheiros máis pequenos e de mellor calidade ... simplemente non o admite un "xigante" como Adobe. |
Estes días está dando a volta ao mundo o traballo que Didier Stevens fixo para executar binarios a partir dun documento PDF. A técnica, se se está a empregar Adobe Acrobat Reader, mostra unha mensaxe que pode ser, como el mesmo di, parcialmente modificado. En FoxItpola contra, non se amosa ningunha mensaxe e os comandos execútanse sen ningunha alerta.
Esta técnica é sinxela, sinxela e, polo tanto, moi perigosa máis, se temos en conta que o formato PDF foi o favorito dos explotadores o ano pasado, alcanzando niveis de explotación moi altos.
Vendo isto, recordei que en moitos artigos de Internet, cando falan de como explotar as vulnerabilidades en PDF din cousas como "Localice a versión de Acrobat que están a usar, con FOCA, por exemplo" e logo constrúe o exploit. O pobre FOCA metido nesas berinjelas ...
Algo parecido a iso foi a demostración que preparamos para Security Day, na que explotamos unha vulnerabilidade en Acrobat Reader (incluída a versión 9) para obter un Shell remoto na computadora vulnerable. A vulnerabilidade explotada tipifícase como CVE-2009-0927 e o seu funcionamento permite executar calquera comando. Se o software é vulnerable, recibirás unha mensaxe como a que aparece na seguinte imaxe:
E o exploit que usamos redirixe o Shell a unha IP e a un porto no que configuramos o netcat para escoitar.
Por suposto, na máquina explotada está a executarse o proceso Acrobat Reader atendendo aos comandos de Shell.
Vendo o perigo das explotacións de PDF, decidín subilo a VirusTotal, para ver como se comportan os motores antivirus con estas explotacións en documentos pdf. É especialmente importante ter en conta o seu comportamento se estamos a falar do motor usado no xestor de correo electrónico ou no repositorio de documentos, xa que é naqueles territorios onde se moven máis documentos pdf. O resultado, con esta explotación en particular, non foi malo, pero sorprendeu que aínda houbese un bo número de motores que non o detectaron, pero a porcentaxe non chegou ao 50% e, algúns deles, tan rechamante como Kaspersky, McAffe ou Fortinet.
Como curiosidade, ocorréuseme usar un empaquetador de ficheiros para xerar executables, similar ao noso querido encadernador vermello de Thor, pero con menos funcionalidades chamadas Jiji e houbo visto en cyberhades, para ver que fixeron os motores antimalware cando colocamos o pdf exploit dentro dun paquete cunha extensión exe.
Este novo executable, cando se executa, lanza o documento co pdf exploit. As alternativas que se me pasaron pola cabeza foron: A) desempaquétano e a xente de antes descóbreo e B) van directamente a detectar o que hai dentro e asinan ao empacador, pero o resultado foi sorprendente.
Só 2 de 42 detectárono, 1 como sospeitoso e só VirusBuster coñecía o formato e tomou o problema de desempaquetar o contido para escanealo.
Despois de ver isto, paréceme moi correcto que Microsoft e Adobe estean a pensar en actualizar o software a través de Windows Update e que Microsoft abriu a súa plataforma Windows Update Services para integrar outras solucións como o axente de Windows Update Secunia CSI, que funciona con System Center Configuration Manager e WSUS.
Escoitame mellor usa o formato libre de DJVU- é máis seguro e crea ficheiros máis pequenos e de mellor calidade.
Fuente: Información de seguimento
2 comentarios, deixa os teus
unha aclaración: o pdf tamén é un formato gratuíto.
e habería que ver de quen ten a culpa, se o formato (PDF) ou os programas (Acrobat Reader, Foxit, etc.) porque o formato pode ser moi bo, pero o programa que o executa é moi malo e non é Significa que non hai bos programas para que isto non lles suceda (todos usan Acrobat ou Foxit, pero en Linux temos moitas máis opcións, serán vulnerables?)
Nunca probei djvu, agora miro un pouco para ver que é, e ten algo que non me gusta neste pouco tempo que o miro, non podes copiar o texto, xa que todo é unha imaxe. Non me gusta así, normalmente copio cousas dos pdf que lin.
Non sei se o usaría moito, creo que prefiro mellorar o formato pdf, que é vectorial.
lembranzas
Querido Marcos, os teus comentarios están claros. PDF era un formato propietario, pero desde o 1 de xullo de 2008 é un formato aberto.
En fin, é certo o que dis que ás veces os clientes / lectores teñen moito que ver. Un claro exemplo é o caso que se informa nesta publicación.
E si, tampouco me gusta non poder copiar o texto do .djvu. 🙁 Non obstante, na páxina da Wikipedia en inglés di que: «Así, en vez de comprimir unha letra« e »nunha fonte determinada varias veces, comprime a letra« e »unha vez (como imaxe de bits comprimida) e logo rexistra todos os lugares na páxina aparece.
Opcionalmente, estas formas pódense asignar a códigos ASCII (xa sexa a man ou potencialmente mediante un sistema de recoñecemento de texto) e almacenarse no ficheiro DjVu. Se existe este mapeamento, é posible seleccionar e copiar texto. » O que significa que podes seleccionar texto no djvus.