|
En 이 훌륭한 게시물 오늘 나온 팔로우 정보, PDF의 마지막이자 가장 위험한 취약점 중 하나가보고되어 우리가 제기 한 내용을 확인합니다. 어제 우리 포스트. 나는 이야기의 교훈을 발전시킨다. DJVU 무료 형식 사용; 더 안전하고 더 작고 더 좋은 품질의 파일을 생성합니다. Adobe와 같은 "거대한"에서는 지원되지 않습니다. |
요즘은 전 세계를 돌고 있습니다 Didier Stevens가 PDF 문서에서 바이너리를 실행하기 위해 수행 한 작업. 기술 (사용중인 경우) Adobe Acrobat Reader가은 자신이 말했듯이 부분적으로 수정 될 수있는 메시지를 보여줍니다. 에 폭스잇반대로 메시지가 표시되지 않고 경고없이 명령이 실행됩니다.
이 기술은 간단하고 간단하며 따라서 PDF 형식이 작년에 악용 자들이 가장 선호하는 방식으로 매우 높은 수준의 악용에 도달했다고 생각하면 더 위험합니다.
이것을보고 나는 인터넷의 많은 기사에서 PDF의 취약점을 악용하는 방법에 대해 이야기 할 때 다음과 같이 말합니다. "예를 들어 FOCA를 사용하여 사용중인 Acrobat 버전 찾기" 그런 다음 익스플로잇을 구축하십시오. 불쌍한 FOCA가 그 가지에 붙어 ...
이와 유사한 것은 보안의 날을 위해 준비한 데모였습니다. Acrobat Reader (버전 9 포함)의 취약성을 악용하여 취약한 컴퓨터에 원격 셸을 가져 왔습니다. 악용 된 취약점은 다음과 같이 분류됩니다. CVE-2009-0927 그리고 그 작업은 모든 명령을 실행할 수 있습니다. 소프트웨어가 취약한 경우 다음 이미지와 같은 메시지가 표시됩니다.
그리고 우리가 사용하는 익스플로잇은 셸을 netcat이 수신하도록 설정 한 IP와 포트로 리디렉션합니다.
물론, 악용 된 컴퓨터에서 Acrobat Reader 프로세스가 실행되고 셸 명령에 따라 처리됩니다.
PDF 익스플로잇의 위험을 확인한 저는 바이러스 토탈에 업로드하여 안티 바이러스 엔진이 PDF 문서에서 이러한 익스플로잇에 대해 어떻게 작동하는지 확인하기로 결정했습니다. 더 많은 pdf 문서가 이동하는 영역에 있기 때문에 이메일 관리자 또는 문서 저장소에서 사용되는 엔진에 대해 이야기하는 경우 해당 동작을 고려하는 것이 특히 중요합니다. 이 특정 익스플로잇의 결과는 나쁘지 않았지만 여전히 감지하지 못한 엔진이 많았지 만 비율이 50 %에 이르지 않았고 일부는 Kaspersky만큼이나 놀라웠습니다. McAffe 또는 Fortinet.
호기심으로, 파일 패커를 사용하여 실행 파일을 생성해야했습니다. 레드바인더 토르의 기능이 적지 만 지 지 그리고 있었다 Cyberhades에서 본, exe 확장자가있는 패키지에 pdf 익스플로잇을 넣었을 때 맬웨어 방지 엔진이 수행 한 작업을 확인합니다.
이 새로운 실행 파일이 실행되면 pdf 악용으로 문서를 시작합니다. 내 마음을 사로 잡은 대안은 A) 포장을 풀고 이전의 사람들이 그것을 발견하고 B) 내부에있는 것을 감지하고 포장업자에게 서명하기 위해 직접 이동하지만 결과는 놀랍습니다.
2 명 중 42 명만이이를 감지했고, 1 명은 용의자였으며, VirusBuster만이 형식을 알고 문제를 해결하여 콘텐츠의 압축을 풀어 스캔했습니다.
이것을 본 후 Microsoft와 Adobe가 Windows Update를 통해 소프트웨어 업데이트를 고려하고 있으며 Microsoft가 Windows Update 에이전트와 같은 다른 솔루션을 통합하기 위해 Windows Update Services 플랫폼을 열었습니다. Secunia CSI, System Center Configuration Manager 및 WSUS에서 작동합니다.
내 말 잘 들어 DJVU 무료 형식 사용-더 안전하고 더 작고 더 나은 품질의 파일을 생성합니다.
출처 : 팔로우 정보