|
En ten doskonały post które wyszło dzisiaj w Follow-Info, zgłoszono jedną z ostatnich i najbardziej niebezpiecznych luk w zabezpieczeniach plików PDF, potwierdzając to, co odkryliśmy nasz post wczoraj. Popieram morał tej historii: lepiej użyj wolnego formatu DJVU; jest bezpieczniejszy i tworzy mniejsze, lepszej jakości pliki… po prostu nie jest obsługiwany przez „giganta”, takiego jak Adobe. |
Obecnie krąży po całym świecie praca, którą wykonał Didier Stevens, aby wykonać pliki binarne z dokumentu PDF. Technika, jeśli jest używana Adobe Acrobat Reader, pokazuje przesłanie, które można, jak sam mówi, częściowo zmodyfikować. W FoxItwręcz przeciwnie, żaden komunikat nie jest wyświetlany, a polecenia są wykonywane bez żadnych alertów.
Ta technika jest prosta, nieskomplikowana, a przez to bardziej niebezpieczna, jeśli weźmiemy pod uwagę, że format PDF był ulubionym formatem exploitów w zeszłym roku, osiągając bardzo wysoki poziom wykorzystania.
Widząc to, przypomniałem sobie, że w wielu artykułach w Internecie, kiedy mówią o tym, jak wykorzystać luki w zabezpieczeniach w plikach PDF, mówią takie rzeczy jak „Znajdź używaną wersję programu Acrobat, na przykład z FOCA” a następnie skompiluj exploita. Biedny FOCA utknął w tych bakłażanach ...
Coś podobnego do tego było demo, które przygotowaliśmy z okazji Dnia Bezpieczeństwa, w którym wykorzystaliśmy lukę w programie Acrobat Reader (w tym wersja 9), aby uzyskać zdalną powłokę na podatnym komputerze. Wykorzystywana luka ma postać CVE-2009-0927 a jego działanie pozwala na wykonanie dowolnego polecenia. Jeśli oprogramowanie jest podatne na atak, otrzymasz komunikat podobny do tego, który widać na poniższym obrazku:
Exploit, którego używamy, przekierowuje Shell na adres IP i port, na którym ustawiliśmy netcat do nasłuchiwania.
Oczywiście na wyzyskiwanej maszynie uruchomiony jest proces Acrobat Reader, odpowiadający na polecenia Shell.
Widząc niebezpieczeństwo związane z exploitami PDF, zdecydowałem się przesłać go do VirusTotal, aby zobaczyć, jak silniki antywirusowe zachowują się z tymi exploitami w dokumentach PDF. Szczególnie ważne jest, aby wziąć pod uwagę jego zachowanie, jeśli mówimy o silniku używanym w menedżerze poczty e-mail lub w repozytorium dokumentów, ponieważ znajduje się on na tych obszarach, na których przenosi się większość dokumentów pdf. Wynik, w przypadku tego konkretnego exploita, nie był zły, ale było zaskakujące, że nadal istniała spora liczba silników, które go nie wykryły, ale odsetek nie osiągnął 50%, a niektóre z nich, tak uderzające jak Kaspersky, McAffe lub Fortinet.
Jako ciekawostka, przyszło mi do głowy, aby użyć programu pakującego pliki do generowania plików wykonywalnych, podobnie jak nasz kochany redbinder Thora, ale z mniejszą liczbą funkcji tzw Jiji i tam był widziany w Cyberhades, aby zobaczyć, co zrobiły silniki antymalware, gdy umieściliśmy exploita pdf w pakiecie z rozszerzeniem exe.
Ten nowy plik wykonywalny, po uruchomieniu, uruchamia dokument z exploitem pdf. Alternatywy, które przyszły mi do głowy to: A) rozpakowują go i ludzie sprzed odkrycia i B) idą bezpośrednio, aby wykryć, co jest w środku i podpisać pakowacz, ale wynik był zaskakujący.
Tylko 2 z 42 wykryło go, 1 jako podejrzany i tylko VirusBuster znał format i zadał sobie trud rozpakowania zawartości w celu jej zeskanowania.
Widząc to, wydaje mi się bardzo słuszne, że Microsoft i Adobe rozważają aktualizację oprogramowania za pośrednictwem Windows Update i że Microsoft otworzył swoją platformę Windows Update Services, aby zintegrować inne rozwiązania, takie jak agent Windows Update Secunia CSI, który współpracuje z programem System Center Configuration Manager i WSUS.
Posłuchaj mnie lepiej użyj wolnego formatu DJVU- jest bezpieczniejszy i tworzy mniejsze pliki o lepszej jakości.
źródło: Follow-Info
wyjaśnienie: pdf jest również wolnym formatem.
i należałoby sprawdzić, czyja to wina, jeśli format (PDF) lub programy (Acrobat Reader, Foxit itp.), ponieważ format może być bardzo dobry, ale program, który go wykonuje, jest bardzo zły, a to czy nie Oznacza to, że nie ma dobrych programów, żeby im się to nie zdarzało (wszystkie używają Acrobata lub Foxita, ale w Linuksie mamy o wiele więcej opcji, czy te będą podatne na ataki?)
Nigdy nie próbowałem djvu, teraz trochę patrzę, aby zobaczyć, co to jest, i ma małą rzecz, której nie lubię w tym krótkim czasie, kiedy na to patrzę, nie możesz skopiować tekstu, ponieważ wszystko jest obraz. Nie podoba mi się to w ten sposób, zwykle kopiuję rzeczy z plików PDF, które czytam.
Nie wiem, czy bym go często używał, myślę, że wolę poprawić format pdf, czyli wektor.
pozdrowienia
Drogi Marcosie, Twoje komentarze są trafne. PDF był zastrzeżonym formatem, ale od 1 lipca 2008 jest formatem otwartym.
Zresztą to prawda, co mówisz, że czasami klienci / czytelnicy mają z tym dużo wspólnego. Wyraźnym przykładem jest przypadek opisany w tym poście.
I tak, nie lubię też nie móc kopiować tekstu pliku .djvu. 🙁 Jednak na stronie angielskiej Wikipedii jest napisane, że: „Tak więc, zamiast wielokrotnie kompresować literę„ e ”w danej czcionce, kompresuje literę„ e ”raz (jako skompresowany obraz bitowy), a następnie zapisuje każde miejsce na stronie to występuje.
Opcjonalnie te kształty mogą być mapowane na kody ASCII (ręcznie lub potencjalnie przez system rozpoznawania tekstu) i przechowywane w pliku DjVu. Jeśli to mapowanie istnieje, można zaznaczyć i skopiować tekst. » Co oznacza, że możesz zaznaczyć tekst w djvusie.