PDF의 위험한 세계

En 이 훌륭한 게시물 오늘 나온 팔로우 정보, PDF의 마지막이자 가장 위험한 취약점 중 하나가보고되어 우리가 제기 한 내용을 확인합니다. 어제 우리 포스트. 나는 이야기의 교훈을 발전시킨다. DJVU 무료 형식 사용; 더 안전하고 더 작고 더 좋은 품질의 파일을 생성합니다. Adobe와 같은 "거대한"에서는 지원되지 않습니다.



요즘은 전 세계를 돌고 있습니다 Didier Stevens가 PDF 문서에서 바이너리를 실행하기 위해 수행 한 작업. 기술 (사용중인 경우) Adobe Acrobat Reader가은 자신이 말했듯이 부분적으로 수정 될 수있는 메시지를 보여줍니다. 에 폭스잇반대로 메시지가 표시되지 않고 경고없이 명령이 실행됩니다.

이 기술은 간단하고 간단하며 따라서 PDF 형식이 작년에 악용 자들이 가장 선호하는 방식으로 매우 높은 수준의 악용에 도달했다고 생각하면 더 위험합니다.

이것을보고 나는 인터넷의 많은 기사에서 PDF의 취약점을 악용하는 방법에 대해 이야기 할 때 다음과 같이 말합니다. "예를 들어 FOCA를 사용하여 사용중인 Acrobat 버전 찾기" 그런 다음 익스플로잇을 구축하십시오. 불쌍한 FOCA가 그 가지에 붙어 ...

이와 유사한 것은 보안의 날을 위해 준비한 데모였습니다. Acrobat Reader (버전 9 포함)의 취약성을 악용하여 취약한 컴퓨터에 원격 셸을 가져 왔습니다. 악용 된 취약점은 다음과 같이 분류됩니다. CVE-2009-0927 그리고 그 작업은 모든 명령을 실행할 수 있습니다. 소프트웨어가 취약한 경우 다음 이미지와 같은 메시지가 표시됩니다.

그림 1 : 취약한 시스템에서 익스플로잇 실행

그리고 우리가 사용하는 익스플로잇은 셸을 netcat이 수신하도록 설정 한 IP와 포트로 리디렉션합니다.

그림 2 :받은 셸

물론, 악용 된 컴퓨터에서 Acrobat Reader 프로세스가 실행되고 셸 명령에 따라 처리됩니다.

그림 3 : 분해 실행중인 Acrobat 프로세스

PDF 익스플로잇의 위험을 확인한 저는 바이러스 토탈에 업로드하여 안티 바이러스 엔진이 PDF 문서에서 이러한 익스플로잇에 대해 어떻게 작동하는지 확인하기로 결정했습니다. 더 많은 pdf 문서가 이동하는 영역에 있기 때문에 이메일 관리자 또는 문서 저장소에서 사용되는 엔진에 대해 이야기하는 경우 해당 동작을 고려하는 것이 특히 중요합니다. 이 특정 익스플로잇의 결과는 나쁘지 않았지만 여전히 감지하지 못한 엔진이 많았지 만 비율이 50 %에 이르지 않았고 일부는 Kaspersky만큼이나 놀라웠습니다. McAffe 또는 Fortinet.

호기심으로, 파일 패커를 사용하여 실행 파일을 생성해야했습니다. 레드바인더 토르의 기능이 적지 만 지 지 그리고 있었다 Cyberhades에서 본, exe 확장자가있는 패키지에 pdf 익스플로잇을 넣었을 때 맬웨어 방지 엔진이 수행 한 작업을 확인합니다.

그림 5 : 1 개의 pdf 파일 만 넣습니다.
그림 6 : 추출시 실행되는 작업

이 새로운 실행 파일이 실행되면 pdf 악용으로 문서를 시작합니다. 내 마음을 사로 잡은 대안은 A) 포장을 풀고 이전의 사람들이 그것을 발견하고 B) 내부에있는 것을 감지하고 포장업자에게 서명하기 위해 직접 이동하지만 결과는 놀랍습니다.

2 명 중 42 명만이이를 감지했고, 1 명은 용의자였으며, VirusBuster만이 형식을 알고 문제를 해결하여 콘텐츠의 압축을 풀어 스캔했습니다.

이것을 본 후 Microsoft와 Adobe가 Windows Update를 통해 소프트웨어 업데이트를 고려하고 있으며 Microsoft가 Windows Update 에이전트와 같은 다른 솔루션을 통합하기 위해 Windows Update Services 플랫폼을 열었습니다. Secunia CSI, System Center Configuration Manager 및 WSUS에서 작동합니다.

내 말 잘 들어 DJVU 무료 형식 사용-더 안전하고 더 작고 더 나은 품질의 파일을 생성합니다.

출처 : 팔로우 정보


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

2 코멘트, 당신의 것을 남겨주세요

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   Marcoshipe

    설명 : pdf는 또한 무료 형식입니다.
    형식 (PDF) 또는 프로그램 (Acrobat Reader, Foxit 등)은 형식이 매우 좋을 수 있지만이를 실행하는 프로그램은 매우 나쁘기 때문에 누구의 잘못인지 확인해야합니다. 이것은 그들에게 일어나지 않는 좋은 프로그램이 없다는 것을 의미합니다 (모두 Acrobat 또는 Foxit을 사용하지만 Linux에서는 더 많은 옵션이 있습니다. 취약할까요?)

    나는 djvu를 시도한 적이 없습니다. 이제 나는 그것이 무엇인지 조금 보았습니다. 그리고 그것은 내가 그것을 보는이 작은 시간에 내가 좋아하지 않는 작은 것이 있습니다. 모든 것이이기 때문에 텍스트를 복사 할 수 없습니다. 이미지. 나는 그런 방식이 마음에 들지 않으며 보통 내가 읽은 pdf에서 복사합니다.
    많이 사용할지 모르겠지만, 벡터 인 pdf 형식을 개선하는 것을 선호한다고 생각합니다.
    안부

  2.   Linux를 사용합시다

    Marcos에게, 귀하의 의견이 있습니다. PDF는 독점 형식 이었지만 1 년 2008 월 XNUMX 일부터는 개방 형식입니다.
    어쨌든 때때로 고객 / 독자가 그것과 관련이 많다는 것은 사실입니다. 이 게시물에보고 된 사례가 분명합니다.
    그리고 예, .djvu의 텍스트를 복사 할 수없는 것도 좋아하지 않습니다. 🙁 그러나 English Wikipedia 페이지에는 다음과 같이 표시되어 있습니다.«문자를 압축하는 대신«e»주어진 글꼴에서 여러 번 글자를 압축«e»한 번 (압축 된 비트 이미지로) 한 다음 모든 위치를 기록합니다. 페이지에서 발생합니다.
    선택적으로 이러한 모양은 손으로 또는 잠재적으로 텍스트 인식 시스템에 의해 ASCII 코드에 매핑되고 DjVu 파일에 저장 될 수 있습니다. 이 매핑이 존재하면 텍스트를 선택하고 복사 할 수 있습니다.» 즉, djvus에서 텍스트를 선택할 수 있습니다.