|
En jawatan yang sangat baik ini yang keluar hari ini di Maklumat Ikut, salah satu kerentanan terakhir dan paling berbahaya dari PDF dilaporkan, yang mengesahkan perkara yang kami bincangkan jawatan kami semalam. Saya memajukan moral cerita: lebih baik gunakan format percuma DJVU; lebih selamat dan menghasilkan fail yang lebih kecil dan berkualiti lebih baik ... ia tidak disokong oleh "raksasa" seperti Adobe. |
Hari-hari ini ia berlaku di seluruh dunia kerja yang telah dilakukan oleh Didier Stevens untuk membuat binari dilaksanakan dari dokumen PDF. Tekniknya, jika ia digunakan Adobe Acrobat Reader, menunjukkan mesej yang boleh, seperti yang dia sendiri katakan, sebahagiannya diubah suai. Dalam FoxItsebaliknya, tidak ada mesej yang dipaparkan dan perintah dilaksanakan tanpa sebarang amaran.
Teknik ini mudah, mudah, dan oleh itu sangat berbahaya, jika kita menganggap bahawa format PDF adalah kegemaran eksploitasi tahun lalu, mencapai tahap eksploitasi yang sangat tinggi.
Melihat ini, saya teringat bahawa dalam banyak artikel di Internet, ketika mereka bercakap tentang bagaimana mengeksploitasi kerentanan dalam PDF, mereka mengatakan seperti "Cari versi Acrobat yang mereka gunakan, dengan FOCA, misalnya" dan kemudian membina eksploitasi. FOCA miskin yang terperangkap dalam terung itu
Sesuatu yang serupa dengan itu adalah demo yang kami siapkan untuk Hari Keamanan, di mana kami memanfaatkan kerentanan di Acrobat Reader (termasuk versi 9) untuk mendapatkan Shell jauh pada komputer yang rentan. Kerentanan yang dieksploitasi dinyatakan sebagai CVE-2009 0927- dan operasinya memungkinkan untuk melaksanakan sebarang perintah. Sekiranya perisian terdedah, anda akan mendapat mesej seperti yang dilihat dalam gambar berikut:
Dan eksploitasi yang kami gunakan mengalihkan Shell ke IP dan port di mana kami telah menetapkan netcat untuk didengarkan.
Sudah tentu, pada mesin yang dieksploitasi, proses Acrobat Reader sedang berjalan, mematuhi perintah Shell.
Melihat bahaya eksploitasi PDF, saya memutuskan untuk memuat naiknya ke VirusTotal, untuk melihat bagaimana enjin antivirus berkelakuan dengan eksploitasi ini dalam dokumen pdf. Adalah sangat penting untuk mengambil kira tingkah lakunya jika kita bercakap mengenai enjin yang digunakan dalam pengurus e-mel atau di repositori dokumen, kerana di wilayah-wilayah di mana kebanyakan dokumen pdf bergerak. Hasilnya, dengan eksploitasi khusus ini, tidak buruk, tetapi mengejutkan bahawa masih ada sebilangan besar enjin yang tidak dapat mengesannya, tetapi peratusannya tidak mencapai 50% dan, beberapa di antaranya, sangat mencolok seperti Kaspersky, McAffe atau Fortinet .
Sebagai rasa ingin tahu, terpikir oleh saya untuk menggunakan file packer untuk menghasilkan executable, serupa dengan yang kita sayangi pengikat merah Thor, tetapi dengan fungsi yang kurang dipanggil Jiji dan ada dilihat di Cyberhades, untuk melihat apa yang dilakukan oleh mesin antimalware ketika kita meletakkan pdf exploit di dalam pakej dengan ekstensi exe.
Pelaksana baru ini, ketika dijalankan, melancarkan dokumen dengan pdf exploit. Alternatif yang terlintas dalam fikiran saya adalah: A) mereka membongkarnya dan orang-orang dari sebelum menemuinya dan B) Mereka pergi secara langsung untuk mengesan apa yang ada di dalamnya dan menandatangani pembungkus itu.
Hanya 2 dari 42 yang mengesannya, 1 sebagai suspek, dan hanya VirusBuster yang mengetahui formatnya, dan menghadapi masalah, untuk membongkar kandungan untuk memindainya.
Setelah melihat ini, nampaknya betul bahawa Microsoft dan Adobe sedang mempertimbangkan untuk mengemas kini perisian melalui Windows Update dan Microsoft telah membuka platform Windows Update Services untuk mengintegrasikan penyelesaian lain seperti Windows Update agent Secunia CSI, yang berfungsi dengan System Center Configuration Manager dan WSUS.
Dengarkan saya dengan lebih baik gunakan format percuma DJVU- lebih selamat dan menghasilkan fail yang lebih kecil dan berkualiti lebih baik.
Fuente: Maklumat Ikut