|
En dette utmerkede innlegget som kom ut i dag i Follow-Info, rapporteres en av de siste og farligste sårbarhetene i PDF-filer som bekrefter det vi reiste i innlegget vårt i går. Jeg fremmer historiens moral: bedre bruk DJVU gratis format; den er sikrere og skaper mindre filer av bedre kvalitet ... den støttes bare ikke av en "gigant" som Adobe. |
I disse dager går det rundt i verden arbeidet Didier Stevens har gjort for å få binærfiler utført fra et PDF-dokument. Teknikken, hvis den blir brukt Adobe Acrobat Reader, viser en melding som kan, som han selv sier, delvis modifiseres. I FoxIttvert imot, ingen melding vises og kommandoer utføres uten varsler.
Denne teknikken er enkel, grei, og derfor veldig farlig mer, hvis vi tar i betraktning at PDF-formatet var favoritt blant utbyttere i fjor, og nådde svært høye utnyttelsesnivåer.
Når jeg ser dette, har jeg husket at når de snakker om hvordan man kan utnytte sårbarheter i PDF, i mange internettartikler, sier de ting som "Finn versjonen av Acrobat de bruker, for eksempel med FOCA" og bygg deretter utnyttelsen. Den stakkars FOCA som sitter fast i eggplantene ...
Noe lignende det var demoen vi forberedte for sikkerhetsdagen, der vi utnyttet et sårbarhet i Acrobat Reader (inkludert versjon 9) for å få en ekstern Shell på den sårbare datamaskinen. Den utnyttede sårbarheten er typisert som CVE-2009-0927 og dens funksjon gjør det mulig å utføre en hvilken som helst kommando. Hvis programvaren er sårbar, vil du få en melding som den som vises i følgende bilde:
Og utnyttelsen vi bruker, omdirigerer Shell til en IP og en port som vi har satt netcat til å lytte på.
Selvfølgelig kjører Acrobat Reader-prosessen i den utnyttede maskinen, og ivaretar Shell-kommandoene.
Da jeg så faren ved PDF-utnyttelse, bestemte jeg meg for å laste den opp til VirusTotal, for å se hvordan antivirusmotorer oppfører seg med disse utnyttelsene i pdf-dokumenter. Det er spesielt viktig å ta hensyn til oppførselen hvis vi snakker om motoren som brukes i e-postadministratoren eller i dokumentet, fordi det er i de områdene der flere pdf-dokumenter beveger seg. Resultatet, med denne spesielle utnyttelsen, var ikke dårlig, men det var overraskende at det fortsatt var et stort antall motorer som ikke oppdaget det, men prosentandelen nådde ikke 50%, og noen av dem, like slående som Kaspersky, McAffe eller Fortinet.
Som en kuriositet skjedde det for meg å bruke en filpakker til å generere kjørbare filer, som vår kjære Rødbinder av Thor, men med mindre funksjonalitet kalt Jiji og det var sett i Cyberhades, for å se hva antimalwaremotorene gjorde da vi satte pdf-utnyttelsen i en pakke med en exe-utvidelse.
Denne nye kjørbare, når den kjøres, lanserer dokumentet med pdf-utnyttelsen. Alternativene som gikk opp i tankene mine var: A) de pakker den ut og menneskene fra før oppdager det og B) De går direkte for å oppdage hva som er inni og signerer pakkeren, men resultatet var overraskende.
Bare 2 av 42 oppdaget det, 1 som mistenkelig og bare VirusBuster visste formatet, og tok bryet med å pakke ut innholdet for å skanne det.
Etter å ha sett dette, virker det for meg veldig riktig at Microsoft og Adobe vurderer å oppdatere programvare gjennom Windows Update, og at Microsoft har åpnet sin Windows Update Services-plattform for å integrere andre løsninger som Windows Update-agent Secunia CSI, som fungerer med System Center Configuration Manager og WSUS.
Hør bedre på meg bruk DJVU gratis format- er sikrere og lager mindre filer av bedre kvalitet.
Fuente: Follow-Info
en avklaring: pdf er også et gratis format.
og det ville være nødvendig å se hvis feil det er, hvis formatet (PDF) eller programmene (Acrobat Reader, Foxit, etc.) fordi formatet kan være veldig bra, men programmet som kjører det er veldig dårlig, og at er ikke Det betyr at det ikke er noen gode programmer som dette ikke skjer med dem (alle bruker Acrobat eller Foxit, men i Linux har vi mange flere alternativer, vil disse være sårbare?)
Jeg har aldri prøvd djvu, nå ser jeg litt for å se hva det er, og det har en liten ting som jeg ikke liker på denne tiden jeg ser på den, du kan ikke kopiere teksten, siden alt er et bilde. Jeg liker ikke det på den måten, jeg kopierer vanligvis ting fra pdfs jeg leser.
Jeg vet ikke om jeg ville brukt den mye, jeg tror jeg foretrekker å forbedre pdf-formatet, som er vektor.
hilsen
Kjære Marcos, kommentarene dine er fine. PDF var et proprietært format, men siden 1. juli 2008 er det et åpent format.
Uansett er det sant det du sier at noen ganger har kunder / lesere mye å gjøre med det. Et klart eksempel er saken som er rapportert i dette innlegget.
Og ja, jeg liker ikke å ikke kunne kopiere teksten til .djvu heller. På den engelske Wikipedia-siden står det imidlertid at: «I stedet for å komprimere en bokstav« e »i en gitt skrift flere ganger, komprimerer den bokstaven« e »en gang (som et komprimert bitbilde) og registrerer deretter hvert sted på siden det forekommer.
Eventuelt kan disse figurene tilordnes til ASCII-koder (enten for hånd eller potensielt av et tekstgjenkjenningssystem), og lagres i DjVu-filen. Hvis denne kartleggingen eksisterer, er det mulig å velge og kopiere tekst. » Noe som betyr at du kan velge tekst i djvusen.