PDFの危険な世界

En この素晴らしい投稿 今日出てきた フォロー情報、PDFの最後で最も危険な脆弱性のXNUMXつが報告され、私たちが提起したものを確認します 昨日の投稿。 私は物語の教訓を前進させます：より良い DJVUフリーフォーマットを使用する; より安全で、より小さく、より高品質のファイルを作成します…Adobeのような「巨人」によってサポートされていないだけです。

最近は世界中で起こっています PDFドキュメントからバイナリを実行するためにDidierStevensが行った作業。 それが使用されている場合、テクニック Adobe Acrobat Readerがは、彼自身が言うように、部分的に変更できるメッセージを示しています。 に フォックスイット逆に、メッセージは表示されず、コマンドはアラートなしで実行されます。

この手法は単純でわかりやすいため、昨年PDF形式が悪用者のお気に入りであり、非常に高いレベルの悪用に達したと考えると、さらに危険です。

これを見て、多くのインターネット記事で、PDFの脆弱性を悪用する方法について話すとき、次のようなことを言っていることを思い出しました。 「たとえばFOCAを使用して、使用しているAcrobatのバージョンを特定します。」 次に、エクスプロイトを構築します。 貧しいFOCAはそれらのナスで立ち往生しています...

これに似たものが、Security Day用に準備したデモで、Acrobat Reader（バージョン9を含む）の脆弱性を悪用して、脆弱なコンピューターにリモートシェルを取得しました。 悪用された脆弱性は、次のように代表されます。 CVE-2009-0927 その操作により、任意のコマンドを実行できます。 ソフトウェアが脆弱な場合は、次の画像に示すようなメッセージが表示されます。

そして、私たちが使用するエクスプロイトは、シェルを、netcatがリッスンするように設定したIPとポートにリダイレクトします。

もちろん、悪用されたマシンでは、Acrobat Readerプロセスが実行されており、シェルコマンドに対応しています。

PDFエクスプロイトの危険性を見て、それをVirusTotalにアップロードして、ウイルス対策エンジンがPDFドキュメント内のこれらのエクスプロイトでどのように動作するかを確認することにしました。 電子メールマネージャーまたはドキュメントリポジトリで使用されるエンジンについて話している場合は、その動作を考慮することが特に重要です。これは、より多くのpdfドキュメントが移動する地域にあるためです。 この特定のエクスプロイトによる結果は悪くありませんでしたが、それを検出しなかったエンジンがまだかなりあることは驚くべきことでしたが、その割合は50％に達しておらず、一部はKasperskyのように印象的でした。マカフィーまたはフォーティネット。

好奇心として、私たちの愛する人と同じように、ファイルパッカーを使用して実行可能ファイルを生成することが思い浮かびました。 レッドバインダー トールの、しかし呼ばれる機能が少ない ジジ そしてありました Cyber​​hadesで見られる、exe拡張子の付いたパッケージ内にpdfエクスプロイトを配置したときにマルウェア対策エンジンが何をしたかを確認します。

この新しい実行可能ファイルを実行すると、pdfエクスプロイトを使用してドキュメントが起動します。 私の頭に浮かんだ選択肢は、A）開梱し、以前の人々がそれを発見したこと、B）中身を直接検出してパッカーに署名することでしたが、結果は驚くべきものでした。

2のうち42つだけがそれを検出し、1つは疑わしく、VirusBusterだけがフォーマットを知っていて、コンテンツを解凍してスキャンするのに苦労しました。

これを見た後、MicrosoftとAdobeがWindows Updateを介したソフトウェアの更新を検討していること、およびMicrosoftがWindowsUpdateエージェントなどの他のソリューションを統合するためにWindowsUpdateServicesプラットフォームを開いたことは非常に正しいようです。 Secunia CSI、System Center ConfigurationManagerおよびWSUSと連携します。

私の言うことをよく聞いてください DJVUフリーフォーマットを使用する-より安全で、より小さく、より高品質のファイルを作成します。

出典 フォロー情報