|
En dit uitstekende bericht die vandaag uitkwam in Follow-Info, wordt een van de laatste en gevaarlijkste kwetsbaarheden van pdf's gerapporteerd, wat bevestigt wat we hebben besproken onze post gisteren. Ik breng de moraal van het verhaal naar voren: beter gebruik het vrije DJVU-formaat; het is veiliger en creëert kleinere bestanden van betere kwaliteit ... het wordt gewoon niet ondersteund door een "gigant" als Adobe. |
Tegenwoordig gaat het de wereld rond het werk dat Didier Stevens heeft gedaan om binaire bestanden te laten uitvoeren vanuit een pdf-document. De techniek, als deze wordt gebruikt Adobe Acrobat Reader, toont een bericht dat, zoals hij zelf zegt, gedeeltelijk kan worden gewijzigd. In FoxItintegendeel, er wordt geen bericht weergegeven en opdrachten worden uitgevoerd zonder enige waarschuwing.
Deze techniek is eenvoudig, ongecompliceerd en daarom gevaarlijker, als we bedenken dat het pdf-formaat vorig jaar favoriet was bij uitbuiters en zeer hoge exploitatieniveaus bereikte.
Toen ik dit zag, herinnerde ik me dat in veel artikelen op internet, wanneer ze praten over het misbruiken van kwetsbaarheden in pdf, ze dingen zeggen als "Zoek de versie van Acrobat die ze gebruiken, bijvoorbeeld met FOCA" en bouw vervolgens de exploit. De arme FOCA zit vast in die aubergines ...
Iets soortgelijks was de demo die we hadden voorbereid voor Security Day, waarin we misbruik maakten van een kwetsbaarheid in Acrobat Reader (inclusief versie 9) om een externe Shell op de kwetsbare computer te krijgen. De misbruikte kwetsbaarheid wordt getypeerd als CVE-2009-0927 en de werking ervan maakt het mogelijk om elk commando uit te voeren. Als de software kwetsbaar is, krijgt u een bericht zoals in de volgende afbeelding:
En de exploit die we gebruiken, leidt de Shell om naar een IP en een poort waarop we de netcat hebben ingesteld om te luisteren.
Natuurlijk wordt op de uitgebuite machine het Acrobat Reader-proces uitgevoerd, dat de Shell-opdrachten uitvoert.
Omdat ik het gevaar van pdf-exploits inzag, besloot ik het te uploaden naar VirusTotal, om te zien hoe antivirus-engines zich gedragen met deze exploits in pdf-documenten. Het is vooral belangrijk om rekening te houden met zijn gedrag als we het hebben over de engine die wordt gebruikt in de e-mailmanager of in de documentrepository, aangezien deze zich in die gebieden bevindt waar meer pdf-documenten worden verplaatst. Het resultaat, met deze specifieke exploit, was niet slecht, maar het was verrassend dat er nog steeds een groot aantal engines was die het niet detecteerden, maar het percentage bereikte de 50% niet en sommigen, zo opvallend als Kaspersky, McAffe of Fortinet.
Als een nieuwsgierigheid kwam het bij me op om een bestandspacker te gebruiken om uitvoerbare bestanden te genereren, vergelijkbaar met onze beste roodbinder van Thor, maar met minder functionaliteiten genoemd Jiji en er was gezien in Cyberhades, om te zien wat de antimalware-engines deden toen we de pdf-exploit in een pakket met een exe-extensie plaatsten.
Dit nieuwe uitvoerbare bestand start, wanneer het wordt uitgevoerd, het document met de pdf-exploit. De alternatieven die bij me opkwamen waren: A) ze pakken het uit en de mensen van ervoor ontdekken het en B) Ze gaan direct van het detecteren van wat erin zit en het ondertekenen van de inpakker, maar het resultaat was verrassend.
Slechts 2 van de 42 ontdekten het, 1 als verdacht en alleen VirusBuster kende het formaat en nam de moeite om de inhoud uit te pakken en te scannen.
Na dit te hebben gezien, lijkt het heel correct dat Microsoft en Adobe overwegen om software bij te werken via Windows Update en dat Microsoft zijn Windows Update Services-platform heeft geopend om andere oplossingen te integreren, zoals Windows Update-agent Secunia CSI, die werkt met System Center Configuration Manager en WSUS.
Luister beter naar me gebruik het vrije DJVU-formaat- Het is veiliger en maakt kleinere bestanden van betere kwaliteit.
bron: Follow-Info
een verduidelijking: pdf is ook een gratis formaat.
en het zou nodig zijn om te zien wiens fout het is, of het formaat (PDF) of de programma's (Acrobat Reader, Foxit, etc.) omdat het formaat erg goed kan zijn, maar het programma dat het uitvoert is erg slecht, en dat is niet Het betekent dat er geen goede programma's zijn dat dit hen niet overkomt (ze gebruiken allemaal Acrobat of Foxit, maar onder Linux hebben we veel meer opties, zullen deze kwetsbaar zijn?)
Ik heb djvu nooit geprobeerd, nu kijk ik een beetje om te zien wat het is, en het heeft een klein ding dat ik niet leuk vind in deze korte tijd dat ik ernaar kijk, je kunt de tekst niet kopiëren, omdat alles is een afbeelding. Ik vind het niet leuk op die manier, ik kopieer meestal dingen uit de pdf's die ik lees.
Ik weet niet of ik het veel zou gebruiken, ik denk dat ik er de voorkeur aan geef het pdf-formaat, dat vector is, te verbeteren.
groeten
Beste Marcos, uw opmerkingen zijn perfect. PDF was een eigen formaat, maar sinds 1 juli 2008 is het een open formaat.
Hoe dan ook, het is waar wat je zegt dat klanten / lezers er soms veel mee te maken hebben. Een duidelijk voorbeeld is het geval dat in dit bericht wordt gerapporteerd.
En ja, ik hou er ook niet van om de tekst van de .djvu niet te kunnen kopiëren. 🙁 Op de Engelse Wikipedia-pagina staat echter: «Dus in plaats van een letter« e »in een bepaald lettertype meerdere keren te comprimeren, comprimeert het de letter« e »één keer (als een gecomprimeerde bitafbeelding) en neemt vervolgens elke plaats op op de pagina komt het voor.
Optioneel kunnen deze vormen worden toegewezen aan ASCII-codes (hetzij met de hand of mogelijk door een tekstherkenningssysteem), en opgeslagen in het DjVu-bestand. Als deze mapping bestaat, is het mogelijk om tekst te selecteren en te kopiëren. » Wat betekent dat je tekst in de djvus zou kunnen selecteren.