|
En esta excelente postagem que saiu hoje em Follow-Info, uma das últimas e mais perigosas vulnerabilidades de PDFs é relatada, confirmando o que levantamos em nosso post de ontem. Eu avanço a moral da história: melhor use o formato livre DJVU; é mais seguro e cria arquivos menores e de melhor qualidade ... simplesmente não é suportado por um "gigante" como a Adobe. |
Hoje em dia está dando a volta ao mundo o trabalho que Didier Stevens fez para obter binários executados a partir de um documento PDF. A técnica, se estiver sendo usada Adobe Acrobat Reader, mostra uma mensagem que pode ser, como ele mesmo diz, parcialmente modificada. Dentro FoxItNamepelo contrário, nenhuma mensagem é exibida e os comandos são executados sem nenhum alerta.
Esta técnica é simples, direta e, portanto, mais perigosa, se considerarmos que o formato PDF foi o preferido dos exploradores no ano passado, atingindo níveis de exploração muito elevados.
Vendo isso, lembrei que em muitos artigos na Internet, quando falam sobre como explorar vulnerabilidades em PDF, dizem coisas como "Localize a versão do Acrobat que estão usando, com FOCA, por exemplo" e então construir o exploit. O pobre FOCA preso naquelas berinjelas ...
Algo semelhante a isso foi a demonstração que preparamos para o Security Day, na qual exploramos uma vulnerabilidade no Acrobat Reader (incluindo a versão 9) para obter um Shell remoto no computador vulnerável. A vulnerabilidade explorada é tipificada como CVE-2009-0927 e seu funcionamento permite executar qualquer comando. Se o software estiver vulnerável, você receberá uma mensagem como a exibida na imagem a seguir:
E o exploit que usamos redireciona o Shell para um IP e uma porta na qual configuramos o netcat para escutar.
Obviamente, na máquina explorada, o processo Acrobat Reader está em execução, atendendo aos comandos do Shell.
Vendo o perigo das explorações de PDF, decidi enviá-lo para o VirusTotal, para ver como os mecanismos antivírus se comportam com essas explorações em documentos PDF. É especialmente importante ter em conta o seu comportamento se estamos a falar do motor utilizado no gestor de e-mail ou no repositório de documentos, visto que é nesses territórios onde se movimentam mais documentos PDF. O resultado, com esse exploit em particular, não foi ruim, mas foi surpreendente que ainda houvesse um bom número de engines que não o detectaram, mas a porcentagem não chegou a 50% e, alguns deles, tão marcantes quanto Kaspersky, McAffe ou Fortinet.
Como curiosidade, ocorreu-me usar um compactador de arquivos para gerar executáveis, semelhante ao nosso querido redbinder de Thor, mas com menos funcionalidades chamadas Jiji e havia visto em Cyberhades, para ver o que os motores antimalware fizeram quando colocamos o exploit pdf dentro de um pacote com uma extensão exe.
Este novo executável, quando executado, inicia o documento com o exploit pdf. As alternativas que me passaram pela cabeça foram: A) descompactam e as pessoas de antes descobrem e B) Vão diretamente detectar o que está dentro e assinar o empacotador, mas o resultado foi surpreendente.
Apenas 2 de 42 o detectaram, 1 como suspeito e apenas o VirusBuster conhecia o formato e se deu ao trabalho de descompactar o conteúdo para fazer a varredura.
Depois de ver isso, parece-me muito correto que a Microsoft e a Adobe estão considerando atualizar o software através do Windows Update e que a Microsoft abriu sua plataforma Windows Update Services para integrar outras soluções, como o agente Windows Update Secunia CSI, que funciona com o System Center Configuration Manager e WSUS.
Me escute melhor use o formato livre DJVU- É mais seguro e cria arquivos menores e de melhor qualidade.
fonte: Follow-Info
um esclarecimento: o pdf também é um formato livre.
e seria preciso ver de quem é a culpa, se o formato (PDF) ou os programas (Acrobat Reader, Foxit, etc.) porque o formato pode ser muito bom, mas o programa que o executa é muito ruim, e que não significa que não existem bons programas que isso não aconteça com eles (todos eles usam Acrobat ou Foxit, mas no Linux temos muito mais opções, serão vulneráveis?)
Nunca experimentei djvu, agora olho um pouquinho pra ver o que é, e tem uma coisinha que não gosto nesse tempinho que olho pra ele, não dá pra copiar o texto, pois tá tudo uma imagem. Não gosto desse jeito, costumo copiar coisas dos pdfs que leio.
Não sei se usaria muito, acho que prefiro melhorar o formato pdf, que é vetor.
lembranças
Caro Marcos, seus comentários estão corretos. PDF era um formato proprietário, mas desde 1º de julho de 2008 é um formato aberto.
Enfim, é verdade o que você diz que às vezes os clientes / leitores têm muito a ver com isso. Um exemplo claro é o caso que é relatado nesta postagem.
E sim, também não gosto de não poder copiar o texto do .djvu. 🙁 No entanto, na página da Wikipedia em inglês diz que: «Assim, em vez de compactar uma letra« e »em uma determinada fonte várias vezes, ele compacta a letra« e »uma vez (como uma imagem de bit compactada) e, em seguida, grava todos os lugares na página ocorre.
Opcionalmente, essas formas podem ser mapeadas para códigos ASCII (manualmente ou potencialmente por um sistema de reconhecimento de texto) e armazenadas no arquivo DjVu. Se este mapeamento existe, é possível selecionar e copiar o texto. » O que significa que você pode selecionar texto no djvus.