|
En ta odlična objava ki je izšel danes v Informacije o spremljanju, poroča se o eni zadnjih in najnevarnejših ranljivosti PDF-jev, ki potrjuje, v čem smo izpostavili naša včerajšnja objava. Napredujem moralo zgodbe: bolje uporabite prosto obliko DJVU; je varnejši in ustvarja manjše, bolj kakovostne datoteke ... preprosto ga ne podpira "velikan", kot je Adobe. |
Te dni gre po svetu delo, ki ga je Didier Stevens opravil za izvedbo binarnih datotek iz dokumenta PDF. Tehnika, če se uporablja Adobe Acrobat Reader, prikazuje sporočilo, ki ga je mogoče, kot pravi sam, delno spremeniti. V FoxItnasprotno, nobeno sporočilo se ne prikaže in ukazi se izvajajo brez opozoril.
Ta tehnika je preprosta, preprosta in zato bolj nevarna, če upoštevamo, da je bila oblika PDF lani najljubša med izkoriščevalci in je dosegla zelo visoko raven izkoriščanja.
Ko sem to videl, sem se spomnil, da v mnogih internetnih člankih, ko govorijo o tem, kako izkoristiti ranljivosti v PDF, govorijo stvari, kot so "Poiščite različico programa Acrobat, ki ga uporabljajo, na primer s FOCA" in nato zgraditi izkoriščanje. Slaba FOCA se je zataknila v te jajčevce ...
Nekaj podobnega temu je bila predstavitev, ki smo jo pripravili za Dan varnosti, v kateri smo izkoristili ranljivost v programu Acrobat Reader (vključno z različico 9), da smo na ranljivi računalnik dobili oddaljeno lupino. Izkoriščena ranljivost je označena z CVE-2009-0927 in njegovo delovanje omogoča izvajanje katerega koli ukaza. Če je programska oprema ranljiva, se prikaže sporočilo, kot je prikazano na naslednji sliki:
In izkoriščanje, ki ga uporabljamo, preusmeri Shell na IP in vrata, na katerih smo nastavili netcat, da posluša.
Seveda se na izkoriščenem računalniku izvaja postopek Acrobat Reader, ki skrbi za ukaze Shell.
Ker sem videl nevarnost izkoriščanja PDF, sem se odločil, da ga naložim na VirusTotal, da vidim, kako se protivirusni motorji obnašajo s temi izkoriščanji v pdf dokumentih. Še posebej pomembno je upoštevati njegovo vedenje, če govorimo o mehanizmu, ki se uporablja v upravitelju e-pošte ali v skladišču dokumentov, saj je na tistih območjih, kjer se premika več dokumentov pdf. Rezultat s tem konkretnim izkoriščanjem ni bil slab, presenetljivo pa je bilo, da je bilo še vedno veliko motorjev, ki ga niso zaznali, vendar odstotek ni dosegel 50% in nekateri med njimi tako presenetljivi kot Kaspersky, McAffe ali Fortinet.
Kot zanimivost se mi je zdelo, da za ustvarjanje izvršljivih datotek, podobnih našemu dragemu, uporabljam paket datotek rdečevezec Thorja, vendar z manj funkcionalnostmi Jiji in je bilo videti v Cyberhades, da vidimo, kaj so naredili motorji za zaščito pred škodljivo programsko opremo, ko smo v paket z razširitvijo exe vstavili pdf exploit.
Ta nova izvedljiva datoteka, ko se zažene, zažene dokument z izkoriščanjem pdf. Alternative, ki so mi padle na misel, so bile: A) razpakirajo ga in ljudje pred tem odkrijejo ter B) Neposredno odkrijejo, kaj je notri, in podpišejo embalažo, vendar je bil rezultat presenetljiv.
Le 2 od 42 sta ga zaznala, 1 sumljiv in samo VirusBuster je poznal obliko in si vzel težave, da je razpakiral vsebino, da jo optično prebere.
Po tem se zdi zelo pravilno, da Microsoft in Adobe razmišljata o posodobitvi programske opreme prek storitve Windows Update in da je Microsoft odprl svojo platformo Windows Update Services za integracijo drugih rešitev, kot je agent Windows Update Secunia CSI, ki deluje s programom System Center Configuration Manager in WSUS.
Poslušaj me bolje uporabite prosto obliko DJVU- Je bolj varna in ustvarja manjše, bolj kakovostne datoteke.
vir: Informacije o spremljanju
pojasnilo: pdf je tudi brezplačna oblika.
in treba bi bilo ugotoviti, za koga je krivda, če je oblika (PDF) ali programi (Acrobat Reader, Foxit itd.), ker je oblika lahko zelo dobra, program, ki jo izvaja, pa zelo slaba ni To pomeni, da ni dobrih programov, da se jim to ne bi zgodilo (vsi uporabljajo Acrobat ali Foxit, toda v Linuxu imamo veliko več možnosti, bodo ti ranljivi?)
Nikoli nisem poskusil djvuja, zdaj malo pogledam, kaj je, in ima malenkost, ki mi v tem času, ko jo pogledam, ni všeč, besedila ne moreš kopirati, saj je vse sliko. Ni mi všeč tako, običajno kopiram stvari iz pdfs-jev, ki sem jih prebral.
Ne vem, ali bi ga veliko uporabljal, mislim, da raje izboljšam format pdf, ki je vektorski.
pozdrav
Dragi Markos, vaši komentarji so na mestu. PDF je bila lastniška oblika, od 1. julija 2008 pa je odprta.
Kakorkoli, res je, kar pravite, da imajo včasih kupci / bralci veliko opravka s tem. Jasen primer je primer, o katerem poroča ta objava.
In ja, tudi ne maram, da ne morem kopirati besedila .djvu. 🙁 Vendar pa na strani angleške Wikipedije piše, da: «Tako namesto da večkrat stisne črko« e »v določeni pisavi, stisne črko« e »enkrat (kot stisnjeno bitno sliko) in nato zabeleži vsako mesto na strani se pojavi.
Neobvezno se lahko te oblike preslikajo v kode ASCII (bodisi ročno ali potencialno s sistemom za prepoznavanje besedila) in shranijo v datoteko DjVu. Če to preslikavo obstaja, je mogoče izbrati in kopirati besedilo. » Kar pomeni, da bi lahko izbrali besedilo v djvusu.