|
En ovaj izvrstan post koji je izašao danas u Informacije o praćenju, izvještava se o jednoj od posljednjih i najopasnijih ranjivosti PDF-ova, što potvrđuje ono što smo pokrenuli naš jučer post. Unaprijeđujem moral priče: bolje koristite DJVU slobodni format; sigurniji je i stvara manje, kvalitetnije datoteke ... jednostavno ga ne podržava "div" poput Adobea. |
Ovih dana to ide po svijetu posao koji je Didier Stevens obavio kako bi se binarne datoteke izvršile iz PDF dokumenta. Tehnika, ako se koristi Adobe Acrobat Reader, prikazuje poruku koja se može, kako sam kaže, djelomično izmijeniti. U FoxItnaprotiv, ne prikazuje se poruka i izvršavaju se naredbe bez upozorenja.
Ova je tehnika jednostavna, jednostavna, a samim tim i vrlo opasna, ako uzmemo u obzir da je format PDF bio omiljen među eksploatatorima prošle godine, dosegnuvši vrlo visoku razinu iskorištavanja.
Vidjevši to, sjetio sam se da u mnogim člancima na Internetu, kada govore o tome kako iskoristiti ranjivosti u PDF-u, govore stvari poput "Pronađite verziju programa Acrobat koji oni koriste, na primjer s FOCA-om" a zatim izgraditi exploit. Jadna FOCA zapela je u tim patlidžanima ...
Nešto slično tome bio je demo koji smo pripremili za Dan sigurnosti, u kojem smo iskoristili ranjivost u programu Acrobat Reader (uključujući verziju 9) kako bismo na ranjivo računalo dobili udaljenu školjku. Iskorištena ranjivost tipizirana je kao CVE-2009-0927 a njegova operacija omogućuje izvršavanje bilo koje naredbe. Ako je softver ranjiv, dobit ćete poruku poput one koja se vidi na sljedećoj slici:
A exploit koji koristimo preusmjerava Shell na IP i priključak na kojem smo postavili netcat da sluša.
Naravno, u iskorištenom stroju izvodi se postupak Acrobat Reader, koji prati naredbe Shell.
Uvidjevši opasnost od iskorištavanja PDF-a, odlučio sam ga prenijeti na VirusTotal kako bih vidio kako se antivirusni pokretači ponašaju s tim eksploatacijama u pdf dokumentima. Posebno je važno uzeti u obzir njegovo ponašanje ako govorimo o mehanizmu koji se koristi u upravitelju e-pošte ili u spremištu dokumenata, jer je to na onim teritorijima na kojima se kreće više pdf dokumenata. Rezultat, s ovom konkretnom eksploatacijom, nije bio loš, ali iznenadilo je da je i dalje postojao dobar broj motora koji ga nisu otkrili, ali taj postotak nije dosegao 50% i, neki od njih, toliko upečatljivi kao Kaspersky, McAffe ili Fortinet .
Kao zanimljivost, palo mi je na pamet da koristim paket za pakiranje datoteka za generiranje izvršnih datoteka, sličnih našim dragim crvenovezac od Thora, ali s manje funkcionalnosti tzv jiji i bilo je viđeno u Cyberhadesu, kako bismo vidjeli što su pokrenuli antimalware motori kad smo stavili pdf exploit u paket s exe nastavkom.
Ovaj novi izvršni program, kada se pokrene, pokreće dokument s pdf exploit-om. Alternative koje su mi pale na pamet bile su: A) raspakiraju ga i ljudi prije nego što su to otkrili i B) Izravno prelaze s otkrivanja onoga što je unutra i potpisivanja pakiranja, no rezultat je bio iznenađujući.
Samo 2 od 42 su ga otkrila, 1 kao sumnjiv i samo je VirusBuster znao format i napravio si je problema da raspakira sadržaj kako bi ga skenirao.
Nakon što se ovo čini, čini se vrlo ispravnim da Microsoft i Adobe razmišljaju o ažuriranju softvera putem Windows Update i da je Microsoft otvorio svoju platformu Windows Update Services kako bi integrirao druga rješenja, kao što je agent Windows Update Secunia CSI, koji radi s System Center Configuration Manager i WSUS-om.
Slušaj me bolje koristite DJVU slobodni format- Sigurniji je i stvara manje, kvalitetnije datoteke.
izvor: Informacije o praćenju
pojašnjenje: pdf je također besplatan format.
i bilo bi potrebno vidjeti čija je krivnja ako format (PDF) ili programi (Acrobat Reader, Foxit, itd.) jer format mogu biti vrlo dobri, ali program koji ga izvršava vrlo je loš, a to nije To znači da nema dobrih programa da im se to ne dogodi (svi koriste Acrobat ili Foxit, ali u Linuxu imamo mnogo više mogućnosti, hoće li biti ranjivi?)
Nikad nisam probao djvu, sad gledam malo da vidim što je to, a ima i sitnicu koja mi se ne sviđa u ovo malo vremena kad ga gledam, ne možete kopirati tekst, jer je sve slika. Ne sviđa mi se na taj način, obično kopiram stvari iz pdfs-a koje sam pročitao.
Ne znam bih li ga puno koristio, mislim da više volim poboljšati pdf format, koji je vektorski.
pozdravi
Dragi Markose, vaši su komentari na mjestu. PDF je bio vlasnički format, ali od 1. srpnja 2008. otvoren je format.
U svakom slučaju, istina je ono što kažete da ponekad kupci / čitatelji imaju puno veze s tim. Jasan primjer je slučaj koji je objavljen u ovom postu.
I da, ni ja ne volim što ne mogu kopirati tekst .djvu. 🙁 Međutim, na engleskoj stranici Wikipedije stoji da: «Dakle, umjesto da više puta komprimira slovo« e »u datom fontu, jednom komprimira slovo« e »(kao komprimiranu bit sliku), a zatim snima svako mjesto na stranici se događa.
Po želji se ti oblici mogu preslikati u ASCII kodove (bilo ručno ili potencijalno pomoću sustava za prepoznavanje teksta) i pohraniti u datoteku DjVu. Ako ovo mapiranje postoji, moguće je odabrati i kopirati tekst. » Što znači da biste mogli odabrati tekst u djvusu.