पीडीएफ की खतरनाक दुनिया

En यह उत्कृष्ट पोस्ट आज में बाहर आया अनुवर्ती जानकारीपीडीएफ की अंतिम और सबसे खतरनाक कमजोरियों में से एक की सूचना दी गई है, जो पुष्टि करता है कि हमने क्या उठाया है कल हमारी पोस्ट। मैं कहानी के नैतिक को आगे बढ़ाता हूं: बेहतर डीजेवीयू मुक्त प्रारूप का उपयोग करें; यह अधिक सुरक्षित है और छोटे, बेहतर-गुणवत्ता वाली फ़ाइलें बनाता है ... यह एडोब जैसे "विशाल" द्वारा समर्थित नहीं है।

इन दिनों यह दुनिया भर में चल रहा है डीडियर स्टीवंस ने बायनेरिज़ को पीडीएफ दस्तावेज़ से निष्पादित करने के लिए जो काम किया है। तकनीक, अगर इसका उपयोग किया जा रहा है एडोब एक्रोबेट रीडरएक संदेश दिखाता है, जो कि, जैसा कि वह खुद कहता है, आंशिक रूप से संशोधित हो सकता है। में Foxitइसके विपरीत, कोई भी संदेश प्रदर्शित नहीं होता है और बिना किसी अलर्ट के कमांड निष्पादित होते हैं।

यह तकनीक सरल, सीधी है, और इसलिए बहुत खतरनाक है, अगर हम इस बात को ध्यान में रखते हैं कि पीडीएफ प्रारूप पिछले साल शोषकों का पसंदीदा था, जो शोषण के उच्च स्तर तक पहुंच गया था।

इसे देखकर, मुझे याद आया है कि कई इंटरनेट लेखों में, जब वे पीडीएफ में कमजोरियों का फायदा उठाने के बारे में बात करते हैं, तो वे ऐसी बातें कहते हैं "उदाहरण के लिए, FOCA के साथ उपयोग किए जाने वाले एक्रोबेट के संस्करण का पता लगाएँ" और फिर शोषण का निर्माण। बेचारा FOCA उन बैंगन में फंस गया ...

ऐसा ही कुछ हम सुरक्षा दिवस के लिए तैयार किया गया डेमो था, जिसमें हमने कमजोर कंप्यूटर पर रिमोट शेल प्राप्त करने के लिए एक्रोबैट रीडर (संस्करण 9 सहित) में भेद्यता का फायदा उठाया था। शोषित भेद्यता को टाइप किया गया है CVE-2009-0927 और इसका संचालन किसी भी कमांड को निष्पादित करने की अनुमति देता है। यदि सॉफ़्टवेयर असुरक्षित है, तो आपको निम्न छवि में देखा गया एक संदेश मिलेगा:

और शोषण जो हम शेल को एक आईपी पर पुनर्निर्देशित करते हैं और एक पोर्ट जिस पर हमने सुनने के लिए नेटकैट सेट किया है।

बेशक, शोषित मशीन में, एक्रोबैट रीडर प्रक्रिया चल रही है, शेल कमांड में भाग ले रही है।

पीडीएफ के कारनामों के खतरे को देखते हुए, मैंने इसे वायरसटोटल पर अपलोड करने का फैसला किया, यह देखने के लिए कि एंटीवायरस इंजन पीडीएफ दस्तावेजों में इन कारनामों के साथ कैसे व्यवहार करते हैं। यदि हम ईमेल मैनेजर या डॉक्यूमेंट रिपॉजिटरी में उपयोग किए जाने वाले इंजन के बारे में बात कर रहे हैं, तो यह विशेष रूप से महत्वपूर्ण है, क्योंकि यह उन प्रदेशों में है जहाँ अधिक पीडीएफ दस्तावेज़ चलते हैं। परिणाम, इस विशेष शोषण के साथ, बुरा नहीं था, लेकिन यह आश्चर्य की बात थी कि अभी भी इंजनों की एक अच्छी संख्या थी जो इसका पता नहीं लगाते थे, लेकिन प्रतिशत 50% तक नहीं पहुंचे और उनमें से कुछ, जैसा कि कैस्परस्की के रूप में हड़ताली थे, मैकेफी या फोर्टिनेट।

एक जिज्ञासा के रूप में, यह मेरे प्रिय के समान, निष्पादनयोग्य उत्पन्न करने के लिए फ़ाइल पैकर का उपयोग करने के लिए हुआ रेडबाइंडर थोर की, लेकिन कम कार्यात्मकता के साथ कहा जाता है जीजी और वहाँ था साइबरहेड्स में देखा, यह देखने के लिए कि जब हमने exe एक्सटेंशन के साथ एक पैकेज के अंदर pdf शोषण किया, तो एंटीमैलेवर इंजन ने क्या किया।

यह नया निष्पादन योग्य, जब चलाया जाता है, तो पीडीएफ शोषण के साथ दस्तावेज़ लॉन्च करता है। मेरे दिमाग को पार करने वाले विकल्प थे: ए) वे इसे खोलते हैं और इससे पहले कि लोग इसे खोजते हैं और बी) वे सीधे पता लगाने के लिए कि अंदर क्या है और पैकर पर हस्ताक्षर करते हैं। हालांकि, परिणाम आश्चर्यजनक था।

2 में से केवल 42 ने इसका पता लगाया, 1 संदिग्ध के रूप में और केवल वायरसबस्टर प्रारूप को जानता था, और इसे स्कैन करने के लिए सामग्री को अनपैक करने के लिए परेशानी उठाता था।

इसे देखने के बाद, यह मुझे बहुत सही लगता है कि Microsoft और Adobe Windows अद्यतन के माध्यम से सॉफ़्टवेयर अद्यतन करने पर विचार कर रहे हैं और Microsoft ने Windows अद्यतन एजेंट जैसे अन्य समाधानों को एकीकृत करने के लिए अपना Windows अद्यतन सेवा प्लेटफ़ॉर्म खोला है सिकुनिया सीएसआई, जो सिस्टम सेंटर कॉन्फ़िगरेशन मैनेजर और WSUS के साथ काम करता है।

मेरी बात बेहतर ढंग से सुनो डीजेवीयू मुक्त प्रारूप का उपयोग करें- अधिक सुरक्षित है और छोटे, बेहतर गुणवत्ता वाली फाइलें बनाता है।

Fuente: अनुवर्ती जानकारी