|
En tento vynikajúci príspevok ktorý vyšiel dnes v Sledujte informácieje hlásená jedna z posledných a najnebezpečnejších zraniteľností súborov PDF, ktorá potvrdzuje to, v čom sme vystúpili náš včerajší príspevok. Posúvam morálku príbehu: lepšie použite voľný formát DJVU; je bezpečnejšia a vytvára menšie, kvalitnejšie súbory ... „gigant“ ako Adobe ju jednoducho nepodporuje. |
V dnešnej dobe to chodí po celom svete práca, ktorú vykonal Didier Stevens pri vykonávaní binárnych súborov z dokumentu PDF. Technika, ak sa používa Adobe Acrobat Reader, ukazuje správu, ktorá sa dá, ako sám hovorí, čiastočne upraviť. V FoxItnaopak, nezobrazí sa žiadna správa a príkazy sa vykonávajú bez akýchkoľvek upozornení.
Táto technika je jednoduchá, priama a preto nebezpečnejšia, ak vezmeme do úvahy, že formát PDF bol v minulom roku obľúbený vykorisťovateľmi a dosahoval veľmi vysoké úrovne vykorisťovania.
Keď som to videl, spomenul som si, že v mnohých článkoch na internete, keď hovoria o tom, ako zneužiť chyby zabezpečenia v PDF, hovoria veci ako „Vyhľadajte verziu aplikácie Acrobat, ktorú používajú, napríklad pomocou FOCA“ a potom vybudovať exploit. Chudák FOCA uviazol v tých baklažánoch ...
Niečím podobným bolo demo, ktoré sme pripravili na Deň bezpečnosti, v ktorom sme zneužili chybu zabezpečenia v aplikácii Acrobat Reader (vrátane verzie 9) na získanie vzdialeného prostredia Shell v zraniteľnom počítači. Využívaná zraniteľnosť je typická ako CVE-2009 0927, a jeho činnosť umožňuje vykonať akýkoľvek príkaz. Ak je softvér zraniteľný, zobrazí sa správa ako na nasledujúcom obrázku:
A zneužitie, ktoré používame, presmeruje Shell na IP a port, na ktorom sme nastavili sieťovú sieť na počúvanie.
Samozrejme na zneužívanom stroji beží proces Acrobat Reader, ktorý sa stará o príkazy Shell.
Keď som videl nebezpečenstvo zneužitia PDF, rozhodol som sa ho nahrať na VirusTotal, aby som zistil, ako sa antivírusové motory správajú pri týchto zneužitiach v dokumentoch PDF. Je obzvlášť dôležité zohľadniť jeho správanie, ak hovoríme o nástroji používanom v správcovi e-mailov alebo v úložisku dokumentov, pretože práve na tých územiach, kde sa pohybuje viac dokumentov PDF. Výsledok, s týmto konkrétnym zneužitím, nebol zlý, ale bolo prekvapujúce, že stále existovalo veľké množstvo motorov, ktoré ho nezistili, ale percento nedosiahlo 50% a niektoré z nich boli rovnako markantné ako Kaspersky, McAffe alebo Fortinet. .
Pre zaujímavosť mi napadlo, že na vytvorenie spustiteľných súborov, podobne ako náš drahý, použijem program na balenie súborov redbinder Thor, ale s menšou funkcionalitou tzv jiji a bolo vidieť v Cyberhades, aby sme zistili, čo robili antimalwarové motory, keď sme umiestnili exploit pdf do balíka s príponou exe.
Tento nový spustiteľný súbor po spustení spustí dokument s využitím súboru PDF. Alternatívy, ktoré mi prišli na myseľ, boli: A) vybalili to a ľudia z minulosti to objavili a B) priamo prešli detekciou toho, čo je vo vnútri, a podpísaním baliča. Výsledok bol však prekvapivý.
Iba 2 zo 42 to detekovali, 1 ako podozrivý a iba VirusBuster poznal formát a urobil si problém, vybalil obsah a naskenoval ho.
Potom sa mi zdá veľmi správne, že spoločnosti Microsoft a Adobe uvažujú o aktualizácii softvéru prostredníctvom služby Windows Update a že spoločnosť Microsoft otvorila svoju platformu Windows Update Services na integráciu ďalších riešení, napríklad agenta Windows Update. Secunia CSI, ktorý pracuje s System Center Configuration Manager a WSUS.
Počúvaj ma lepšie použite voľný formát DJVU- Je bezpečnejšia a vytvára menšie a kvalitnejšie súbory.
Fuente: Sledujte informácie
vysvetlenie: pdf je tiež bezplatný formát.
a bolo by potrebné zistiť, čí je to chyba, či formát (PDF) alebo programy (Acrobat Reader, Foxit atď.), pretože formát môže byť veľmi dobrý, ale program, ktorý ho vykonáva, je veľmi zlý, a to nie je Znamená to, že neexistujú dobré programy, ktoré by sa im nestali (všetky používajú Acrobat alebo Foxit, ale v systéme Linux máme oveľa viac možností, budú tieto zraniteľné?)
Nikdy som neskúšal djvu, teraz sa trochu poobzerám, čo to je, a má maličkosť, ktorá sa mi nepáči, keď sa na ňu pozriem tak málo, že nemôžete text skopírovať, pretože všetko je obraz. Mne sa to tak nepáči, väčšinou kopírujem veci z pdf, ktoré som čítal.
Neviem, či by som to veľa využil, myslím si, že radšej vylepšujem formát pdf, ktorý je vektorový.
ide o
Milý Marcos, vaše komentáre sú na mieste. PDF bol proprietárny formát, ale od 1. júla 2008 je v otvorenom formáte.
Každopádne je pravda, čo hovoríte, že niekedy s tým majú zákazníci / čitatelia veľa spoločného. Jasným príkladom je prípad uvedený v tomto príspevku.
A áno, tiež sa mi nepáči, že nemôžem kopírovať text súboru .djvu. 🙁 Na stránke anglickej Wikipédie sa však píše, že: «Teda namiesto toho, aby sa písmeno« e »v danom písme niekoľkokrát skomprimovalo, skomprimuje sa písmeno« e »jedenkrát (ako komprimovaný bitový obrázok) a potom sa zaznamená každé miesto. na stránke sa to vyskytuje.
Voliteľne môžu byť tieto tvary namapované na kódy ASCII (ručne alebo potenciálne pomocou systému na rozpoznávanie textu) a uložené v súbore DjVu. Ak toto mapovanie existuje, je možné vybrať a kopírovať text. » Čo znamená, že v djvus môžete vybrať text.