|
En acest post excelent care a ieșit astăzi în Follow-Info, este raportată una dintre ultimele și cele mai periculoase vulnerabilități ale fișierelor PDF, confirmând ceea ce am ridicat postarea noastră de ieri. Înaintez morala poveștii: mai bine utilizați formatul gratuit DJVU; este mai sigur și creează fișiere mai mici, de calitate mai bună ... pur și simplu nu este acceptat de un „gigant” precum Adobe. |
În aceste zile se învârte în jurul lumii munca pe care a făcut-o Didier Stevens pentru a obține binare executate dintr-un document PDF. Tehnica, dacă este utilizată Adobe Acrobat Reader, arată un mesaj care poate fi, după cum spune el însuși, parțial modificat. În FoxItdimpotrivă, nu se afișează niciun mesaj și comenzile sunt executate fără alerte.
Această tehnică este simplă, simplă și, prin urmare, foarte periculoasă mai mult, dacă luăm în considerare faptul că formatul PDF a fost favoritul exploatatorilor anul trecut, ajungând la niveluri foarte ridicate de exploatare.
Văzând acest lucru, mi-am amintit că în multe articole de pe Internet, când vorbesc despre cum să exploateze vulnerabilitățile în PDF, spun lucruri precum „Găsiți versiunea Acrobat pe care o utilizează, de exemplu cu FOCA” și apoi construiți exploatarea. Bietul FOCA blocat în acele vinete ...
Ceva asemănător a fost demo-ul pe care l-am pregătit pentru Security Day, în care am exploatat o vulnerabilitate în Acrobat Reader (inclusiv versiunea 9) pentru a obține un Shell la distanță pe computerul vulnerabil. Vulnerabilitatea exploatată este caracterizată ca CVE-2009-0927 iar funcționarea sa permite executarea oricărei comenzi. Dacă software-ul este vulnerabil, veți primi un mesaj ca cel din imaginea următoare:
Și exploatarea pe care o folosim redirecționează Shell către un IP și un port pe care am setat netcat-ul să asculte.
Desigur, în mașina exploatată, procesul Acrobat Reader rulează, urmând comenzile Shell.
Văzând pericolul exploatărilor PDF, am decis să îl încarc pe VirusTotal, pentru a vedea cum se comportă motoarele antivirus cu aceste exploit-uri în documentele pdf. Este deosebit de important să ținem cont de comportamentul său dacă vorbim despre motorul utilizat în managerul de e-mail sau în depozitul de documente, deoarece se află în acele teritorii unde se deplasează mai multe documente pdf. Rezultatul, cu acest exploat special, nu a fost rău, dar a fost surprinzător faptul că există încă un număr bun de motoare care nu l-au detectat, dar procentul nu a atins 50% și, unele dintre ele, la fel de izbitoare ca Kaspersky, McAffe sau Fortinet.
Ca o curiozitate, mi-a venit în minte să folosesc un pachet de fișiere pentru a genera executabile, similar cu dragul nostru liant roșu lui Thor, dar cu mai puține funcționalități numite Jiji și a existat văzut în Cyberhades, pentru a vedea ce au făcut motoarele antimalware atunci când punem exploit-ul pdf într-un pachet cu o extensie exe.
Acest nou executabil, când este rulat, lansează documentul cu pdf exploit. Alternativele care mi-au trecut prin minte au fost: A) îl despachetează și oamenii de dinainte îl descoperă și B) Se duc direct să detecteze ce este în interior și să semneze ambalatorul, însă rezultatul a fost surprinzător.
Doar 2 din 42 l-au detectat, 1 ca suspect și numai VirusBuster știa formatul și s-a descurcat să despacheteze conținutul pentru a-l scana.
După ce am văzut acest lucru, mi se pare foarte corect că Microsoft și Adobe iau în considerare actualizarea software-ului prin Windows Update și că Microsoft și-a deschis platforma Windows Update Services pentru a integra alte soluții, cum ar fi agentul Windows Update Secunia CSI, care funcționează cu System Center Configuration Manager și WSUS.
Ascultă-mă mai bine utilizați formatul gratuit DJVU- este mai sigur și creează fișiere mai mici și de calitate mai bună.
Fuente: Follow-Info
o clarificare: pdf este, de asemenea, un format gratuit.
și ar fi necesar să vedem a cui este vina, dacă formatul (PDF) sau programele (Acrobat Reader, Foxit etc.) deoarece formatul poate fi foarte bun, dar programul care îl execută este foarte rău și că nu este Înseamnă că nu există programe bune care să nu li se întâmple asta (toți folosesc Acrobat sau Foxit, dar în Linux avem mult mai multe opțiuni, vor fi acestea vulnerabile?)
Nu am încercat niciodată djvu, acum mă uit puțin pentru a vedea ce este, și are un lucru mic care nu-mi place în acest mic timp pe care îl privesc, nu puteți copia textul, deoarece totul este o imagine. Nu-mi place așa, de obicei copiez lucruri din pdf-urile pe care le-am citit.
Nu știu dacă l-aș folosi foarte mult, cred că prefer să îmbunătățesc formatul pdf, care este vector.
salutări
Dragă Marcos, comentariile tale sunt la fața locului. PDF a fost un format proprietar, dar de la 1 iulie 2008 este un format deschis.
Oricum, este adevărat ce spui că uneori clienții / cititorii au mult de-a face cu asta. Un exemplu clar este cazul raportat în această postare.
Și da, nici nu-mi place să nu pot copia textul .djvu. 🙁 Cu toate acestea, pe pagina Wikipedia engleză scrie că: «Astfel, în loc să comprimă o literă« e »într-un font dat de mai multe ori, comprimă litera« e »o dată (ca imagine de biți comprimată) și apoi înregistrează fiecare loc pe pagina apare.
Opțional, aceste forme pot fi mapate la coduri ASCII (fie manual, fie potențial de un sistem de recunoaștere a textului) și stocate în fișierul DjVu. Dacă această mapare există, este posibil să selectați și să copiați text. » Ceea ce înseamnă că puteți selecta text în djvus.