|
En questo ottimo post che è uscito oggi in Follow-Info, viene segnalata una delle ultime e più pericolose vulnerabilità dei PDF, a conferma di ciò che abbiamo sollevato in il nostro post di ieri. Avanzo la morale della favola: meglio utilizzare il formato gratuito DJVU; è più sicuro e crea file più piccoli e di migliore qualità ... semplicemente non è supportato da un "gigante" come Adobe. |
In questi giorni sta facendo il giro del mondo il lavoro che Didier Stevens ha svolto per ottenere i binari eseguiti da un documento PDF. La tecnica, se viene utilizzata Adobe Acrobat Reader, mostra un messaggio che può essere, come dice lui stesso, parzialmente modificato. In Foxital contrario, non viene visualizzato alcun messaggio e i comandi vengono eseguiti senza alcun avviso.
Questa tecnica è semplice, diretta e quindi più pericolosa, se si considera che il formato PDF è stato il preferito dagli sfruttatori lo scorso anno, raggiungendo livelli di sfruttamento molto elevati.
Vedendo questo, mi sono ricordato che in molti articoli su Internet, quando parlano di come sfruttare le vulnerabilità in PDF dicono cose come "Individua la versione di Acrobat che stanno utilizzando, ad esempio con l'UFAC" e quindi crea l'exploit. Il povero FOCA bloccato in quelle melanzane ...
Qualcosa di simile è stata la demo che abbiamo preparato per il Security Day, in cui abbiamo sfruttato una vulnerabilità in Acrobat Reader (inclusa la versione 9) per ottenere una Shell remota sul computer vulnerabile. La vulnerabilità sfruttata è caratterizzata come CVE-2009-0927 e il suo funzionamento permette di eseguire qualsiasi comando. Se il software è vulnerabile, riceverai un messaggio come quello visto nell'immagine seguente:
E l'exploit che usiamo reindirizza la Shell a un IP e una porta su cui abbiamo impostato il netcat per l'ascolto.
Ovviamente, sulla macchina sfruttata, è in esecuzione il processo di Acrobat Reader, che fa attenzione ai comandi della Shell.
Vedendo il pericolo degli exploit PDF, ho deciso di caricarlo su VirusTotal, per vedere come i motori antivirus si comportano con questi exploit nei documenti pdf. È particolarmente importante tener conto del suo comportamento se parliamo del motore utilizzato nel gestore di posta elettronica o nel repository dei documenti, poiché è in quei territori in cui si spostano più documenti pdf. Il risultato, con questo particolare exploit, non è stato male, ma è stato sorprendente che ci fosse ancora un buon numero di motori che non lo hanno rilevato, ma la percentuale non ha raggiunto il 50% e, alcuni di loro, eclatanti come Kaspersky, McAffe o Fortinet .
Come curiosità mi è venuto in mente di utilizzare un file packer per generare eseguibili, simili al nostro amato Raccoglitore rosso di Thor, ma con meno funzionalità chiamate Jiji e c'era visto in Cyberhades, per vedere cosa hanno fatto i motori antimalware quando abbiamo inserito l'exploit pdf all'interno di un pacchetto con un'estensione exe.
Questo nuovo eseguibile, una volta eseguito, avvia il documento con l'exploit pdf. Le alternative che mi sono passate per la mente sono state: A) lo scompattano e le persone che lo hanno preceduto lo scoprono e B) passano direttamente dal rilevare cosa c'è dentro e firmare l'imballatore, tuttavia il risultato è stato sorprendente.
Solo 2 su 42 lo hanno rilevato, 1 come sospetto e solo VirusBuster conosceva il formato e si è preso la briga di decomprimere il contenuto per scansionarlo.
Dopo aver visto questo, mi sembra molto corretto che Microsoft e Adobe stiano prendendo in considerazione l'aggiornamento del software tramite Windows Update e che Microsoft abbia aperto la sua piattaforma Windows Update Services per integrare altre soluzioni come l'agente Windows Update Secunia CSI, che funziona con System Center Configuration Manager e WSUS.
Ascoltami meglio utilizzare il formato gratuito DJVU- È più sicuro e crea file più piccoli e di migliore qualità.
fonte: Follow-Info
una precisazione: anche il pdf è un formato libero.
e bisognerebbe vedere di chi è la colpa, se il formato (PDF) oi programmi (Acrobat Reader, Foxit, ecc.) perché il formato può essere molto buono, ma il programma che lo esegue è pessimo, e quello non lo è Significa che non ci sono buoni programmi che questo non accada a loro (tutti usano Acrobat o Foxit, ma in Linux abbiamo molte più opzioni, saranno vulnerabili?)
Non ho mai provato djvu, ora guardo un po 'di cosa si tratta, e ha una piccola cosa che non mi piace in questo poco tempo che la guardo, non puoi copiare il testo, dato che tutto è un'immagine. Non mi piace in questo modo, di solito copio le cose dai pdf che leggo.
Non so se lo userei molto, penso di preferire migliorare il formato pdf, che è vettoriale.
saluti
Caro Marcos, i tuoi commenti sono esatti. Il PDF era un formato proprietario, ma dal 1 luglio 2008 è un formato aperto.
Ad ogni modo, è vero quello che dici che a volte i clienti / lettori hanno molto a che fare con questo. Un chiaro esempio è il caso riportato in questo post.
E sì, nemmeno a me piace non poter copiare il testo del .djvu. 🙁 Tuttavia, sulla pagina di Wikipedia in inglese si dice che: «Così, invece di comprimere più volte una lettera« e »in un dato font, comprime la lettera« e »una volta (come un'immagine bit compressa) e poi registra ogni luogo nella pagina si verifica.
Facoltativamente, queste forme possono essere mappate su codici ASCII (manualmente o potenzialmente da un sistema di riconoscimento del testo) e memorizzate nel file DjVu. Se esiste questa mappatura, è possibile selezionare e copiare il testo. » Ciò significa che puoi selezionare il testo nel djvus.