Bīstamā PDF pasaule

Alejandro (a.k.a KZKG^Gaara)

4 Minutos

 En šo izcilo amatu kas šodien iznāca Sekošanas informācija, tiek ziņots par vienu no pēdējām un visbīstamākajām PDF failu ievainojamībām, kas apstiprina mūsu izvirzīto mūsu vakardienas ieraksts. Es virzu stāsta morāli: labāk izmantojiet DJVU bezmaksas formātu; tas ir drošāks un rada mazākus, labākas kvalitātes failus ... to vienkārši neatbalsta tāds "gigants" kā Adobe.



Mūsdienās tas notiek visā pasaulē Didjē Stīvensa paveiktais darbs, lai bināros failus izpildītu no PDF dokumenta. Tehnika, ja tā tiek izmantota Adobe Acrobat Reader, parāda ziņojumu, kuru, kā viņš pats saka, var daļēji modificēt. In FoxItgluži pretēji, ziņojums netiek parādīts, un komandas tiek izpildītas bez brīdinājumiem.

Šī tehnika ir vienkārša, vienkārša un tāpēc ļoti bīstama, ja ņem vērā, ka PDF formāts pagājušajā gadā bija iecienītākais ekspluatantu vidū, sasniedzot ļoti augstu ekspluatācijas līmeni.

To redzot, es atcerējos, ka daudzos interneta rakstos, runājot par to, kā izmantot PDF ievainojamības, viņi saka, piemēram, "Atrodiet to izmantoto Acrobat versiju, piemēram, ar FOCA." un pēc tam izveidojiet ekspluatāciju. Nabaga FOCA iestrēga šajos baklažānos ...

Kaut kas līdzīgs tam bija demonstrācija, kuru sagatavojām Drošības dienai, kurā mēs izmantojām Acrobat Reader (ieskaitot 9. versiju) ievainojamību, lai ievainojamā datorā iegūtu attālo Shell. Izmantotā ievainojamība tiek raksturota kā CVE-2009-0927 un tā darbība ļauj izpildīt jebkuru komandu. Ja programmatūra ir neaizsargāta, jūs saņemsit tādu ziņojumu kā redzams šajā attēlā:

1. attēls. Ekspluatācijas izpilde neaizsargātā mašīnā

Un izmantotais izmantojums novirza Shell uz IP un portu, kurā esam iestatījuši netcat klausīties.

2. attēls: čaula saņemta

Protams, izmantotajā mašīnā darbojas Acrobat Reader process, ievērojot Shell komandas.

3. attēls: Acrobat darbības process eksplodēja

Redzot PDF izmantošanas bīstamību, es nolēmu to augšupielādēt VirusTotal, lai redzētu, kā pretvīrusu dzinēji rīkojas ar šiem izmantojumiem pdf dokumentos. Īpaši svarīgi ir ņemt vērā tā uzvedību, ja mēs runājam par dzinēju, kas tiek izmantots e-pasta pārvaldniekā vai dokumentu krātuvē, jo tas ir tajās teritorijās, kur pārvietojas vairāk pdf dokumentu. Rezultāts, izmantojot šo konkrēto izmantojumu, nebija slikts, taču pārsteidzoši bija tas, ka joprojām bija labs skaits dzinēju, kas to neatklāja, bet procentuālais daudzums nesasniedza 50%, un daži no tiem bija tikpat pārsteidzoši kā Kaspersky, Makafe vai Fortinets.

Kā ziņkārība, man ienāca prātā izmantot failu iesaiņotāju, lai ģenerētu izpildāmos failus, līdzīgi kā mūsu dārgie sarkanā saistviela Thor, bet ar mazāk funkcionalitāti sauc Jiji un tur bija redzams Kiberhadās, lai redzētu, ko darīja antimalware dzinēji, kad mēs ievietojām pdf utilītu pakotnē ar exe paplašinājumu.

5. attēls: mēs ievietojām tikai 1 pdf failu

6. attēls: kas tiek izpildīts, iegūstot

Šis jaunais izpildāmais fails, palaižot, palaiž dokumentu ar pdf utilītu. Alternatīvas, kas man ienāca prātā, bija: A) tās izpako un iepriekšējie cilvēki to atklāj un B) Viņi iet tieši atklāt to, kas atrodas iekšpusē, un parakstīt iepakotāju.

Tikai 2 no 42 to atklāja, viens - kā aizdomīgs, un tikai VirusBuster zināja formātu un pārņēma problēmas, lai izsaiņotu saturu, lai to skenētu.

Pēc tam, kad to redzēju, man šķiet ļoti pareizi, ka Microsoft un Adobe apsver programmatūras atjaunināšanu, izmantojot Windows Update, un ka Microsoft ir atvērusi savu Windows Update Services platformu, lai integrētu citus risinājumus, piemēram, Windows Update agent Secunia CSI, kas darbojas ar System Center Configuration Manager un WSUS.

Labāk klausies mani izmantojiet DJVU bezmaksas formātu- ir drošāka un rada mazākus, labākas kvalitātes failus.

Fuente: Sekošanas informācija


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   Markosiče teica
    dara 11 gadi

    precizējums: pdf ir arī bezmaksas formāts.
    un būtu nepieciešams redzēt, kas tā ir, vai formāts (PDF) vai programmas (Acrobat Reader, Foxit utt.), jo formāts var būt ļoti labs, bet programma, kas to izpilda, ir ļoti slikta, un ka Vai tas nenozīmē, ka nav labu programmu, ka ar viņiem tā nenotiek (viņi visi izmanto Acrobat vai Foxit, bet Linux mums ir daudz vairāk iespēju, vai tie būs neaizsargāti?)

    Es nekad neesmu mēģinājis djvu, tagad es mazliet paskatos, lai redzētu, kas tas ir, un tam ir maza lieta, kas man nepatīk šajā mazajā laikā, kad es to skatos, jūs nevarat kopēt tekstu, jo viss ir attēlu. Man tas tā nepatīk, es parasti kopēju lietas no lasītajiem pdf failiem.
    Es nezinu, vai es to daudz izmantotu, es domāju, ka es gribētu uzlabot pdf formātu, kas ir vektors.
    vēlējumiem

    Atbildēt marcoshipe
  2.   Izmantosim Linux teica
    dara 11 gadi

    Cienījamais Markos, jūsu komentāri ir nepastarpināti. PDF bija patentēts formāts, taču kopš 1. gada 2008. jūlija tas ir atvērts formāts.
    Jebkurā gadījumā taisnība, ko jūs sakāt, ka dažreiz klientiem / lasītājiem ir daudz sakara ar to. Spilgts piemērs ir gadījums, par kuru ziņots šajā amatā.
    Un jā, man arī nepatīk, ka nevaru kopēt .djvu tekstu. 🙁 Tomēr angļu Wikipedia lapā ir teikts, ka: «Tā vietā, lai vairākas reizes saspiestu burtu« e »noteiktā fontā, tas vienu reizi saspiež burtu« e »(kā saspiestu bitu attēlu) un pēc tam ieraksta katru vietu lapā tas notiek.
    Pēc izvēles šīs formas var kartēt ar ASCII kodiem (vai nu ar rokām, vai, iespējams, ar teksta atpazīšanas sistēmu), un saglabāt DjVu failā. Ja šī kartēšana pastāv, ir iespējams atlasīt un kopēt tekstu. » Tas nozīmē, ka jūs varat atlasīt tekstu djvus.

    Atbildiet uz Izmantosim Linux