|
En ezt a kiváló bejegyzést ami ma jelent meg Follow-Info, a PDF-fájlok egyik utolsó és legveszélyesebb sebezhetőségéről számolnak be, megerősítve azt, amiben felvetettük tegnapi bejegyzésünk. Előmozdítom a történet morálját: jobb használja a DJVU ingyenes formátumot; biztonságosabb és kisebb, jobb minőségű fájlokat hoz létre ... egyszerűen nem támogatja egy olyan "óriás", mint az Adobe. |
Manapság ez a világ körül megy azt a munkát, amelyet Didier Stevens végzett a bináris fájlok PDF-dokumentumból történő végrehajtása érdekében. A technika, ha használják Adobe Acrobat Reader, egy üzenetet mutat, amelyet - ahogy ő maga mondja - részben módosítani lehet. Ban ben FoxItéppen ellenkezőleg, nem jelenik meg üzenet, és a parancsok riasztások nélkül végrehajtódnak.
Ez a technika egyszerű, egyértelmű és ezért veszélyesebb, ha figyelembe vesszük, hogy a PDF formátum volt a kiaknázók kedvence tavaly, és nagyon magas szintű kihasználást ért el.
Ezt látva eszembe jutott, hogy az Internet számos cikkében, amikor arról beszélnek, hogy miként lehet kihasználni a PDF biztonsági réseit, például: "Keresse meg az Acrobat által használt verziót, például a FOCA-val" majd építse ki a kihasználást. A szegény FOCA beszorult azokba a padlizsánokba ...
Valami ehhez hasonló volt a bemutató, amelyet a Security Day-re készítettünk, amelyben az Acrobat Reader (beleértve a 9. verziót is) biztonsági rését kihasználva távoli Shell-t kaptunk a sérülékeny számítógépre. A kihasznált biztonsági rés jellemzője: CVE-2009 0927- és működése lehetővé teszi bármely parancs végrehajtását. Ha a szoftver sebezhető, akkor a következő képen látható üzenetet kap:
Az általunk használt kiaknázás pedig a Shell-t egy IP-re és egy portra irányítja, amelyen a netcat-ot hallgatásra állítottuk be.
Természetesen a kihasznált gépen fut az Acrobat Reader folyamata, figyelemmel a Shell parancsokra.
A PDF-kiaknázások veszélyét látva úgy döntöttem, hogy feltöltöm a VirusTotal-ra, hogy lássam, hogyan viselkednek a víruskereső motorok ezekkel a kiaknázásokkal a pdf-dokumentumokban. Különösen fontos figyelembe venni annak viselkedését, ha az e-mail kezelőben vagy a dokumentumtárban használt motorról beszélünk, mivel azokon a területeken található, ahol több pdf dokumentum mozog. Az eredmény ezzel a bizonyos kihasználással nem volt rossz, de meglepő volt, hogy még mindig jó néhány motor nem észlelte, de a százalék nem érte el az 50% -ot, és némelyikük olyan szembetűnő, mint a Kaspersky, a McAffe vagy a Fortinet .
Érdekességként felmerült bennem, hogy fájlcsomagolóval futtatható fájlokat állítok elő, hasonlóan kedvesünkhöz vörös kötőanyag Thor, de kevesebb funkcióval hívják jiji és volt Cyberhades-ben látták, hogy lássuk, mit tettek az antimalware motorok, amikor a pdf kihasználást egy exe kiterjesztésű csomagba tettük.
Ez az új futtatható program futtatásakor elindítja a dokumentumot a pdf kihasználással. Azon alternatívák, amelyek eszembe jutottak: A) kicsomagolják, és a korábbiak felfedezik és B) Közvetlenül felismerik, mi van benne, és aláírják a csomagolót, azonban az eredmény meglepő volt.
2-ből csak 42 észlelte, egy gyanús, és csak a VirusBuster ismerte a formátumot, és vette a fáradságot, hogy kicsomagolja a tartalmat, hogy átkutassa.
Ezt látva nagyon helyesnek tűnik számomra, hogy a Microsoft és az Adobe fontolóra veszi a szoftver frissítését a Windows Update segítségével, és hogy a Microsoft megnyitotta Windows Update Services platformját más megoldások, például a Windows Update ügynök integrálásához. Secunia CSI, amely a System Center Configuration Managerrel és a WSUS-szal működik.
Hallgass jobban használja a DJVU ingyenes formátumot- biztonságosabb és kisebb, jobb minőségű fájlokat hoz létre.
forrás: Follow-Info
pontosítás: a pdf szintén szabad formátum.
és meg kell nézni, hogy kinek a hibája, ha a formátum (PDF) vagy a programok (Acrobat Reader, Foxit, stb.), mert a formátum nagyon jó lehet, de az azt végrehajtó program nagyon rossz, és hogy nem Ez azt jelenti, hogy nincsenek jó programok, hogy ez ne történne meg velük (valamennyien Acrobatot vagy Foxitot használnak, de a Linuxban sokkal több lehetőségünk van, ezek sebezhetőek lesznek?)
Soha nem próbáltam a djvu-t, most kicsit megnézem, hogy mi az, és van egy aprósága, amit ebben a kis idő alatt nem szeretek, ha ránézek, nem lehet lemásolni a szöveget, mivel minden egy kép. Nem szeretem így, általában másolom a dolgokat az általam olvasott pdf-ekből.
Nem tudom, hogy sokat használnám-e, azt hiszem, jobban szeretném fejleszteni a pdf formátumot, ami vektor.
tekintetében
Kedves Marcos! A PDF saját formátumú volt, de 1. július 2008-je óta nyílt formátumú.
Egyébként igaz, amit mondasz, hogy néha az ügyfeleknek / olvasóknak sok köze van hozzá. Világos példa erre az esetre, amelyről ebben a bejegyzésben számolunk be.
És igen, azt sem szeretem, ha a .djvu szövegét nem tudom lemásolni. 🙁 Az angol Wikipedia oldalon azonban ez áll: az oldalon előfordul.
Opcionálisan ezeket az alakzatokat hozzárendelhetjük az ASCII kódokhoz (akár kézzel, akár egy szövegfelismerő rendszer segítségével), és elmenthetjük a DjVu fájlba. Ha ez a leképezés létezik, lehetőség van szöveg kiválasztására és másolására. » Ami azt jelenti, hogy kiválaszthatja a szöveget a djvus-ban.