โลกอันตรายของ PDF

Alejandro (a.k.a KZKG^Gaara)

นาทีที่ 4

 En โพสต์ที่ยอดเยี่ยมนี้ ที่ออกมาในวันนี้ ติดตามข้อมูลหนึ่งในช่องโหว่สุดท้ายและอันตรายที่สุดของ PDF มีการรายงานเพื่อยืนยันสิ่งที่เรายกมา โพสต์ของเราเมื่อวานนี้. ฉันพัฒนาคุณธรรมของเรื่องราว: ดีกว่า ใช้รูปแบบฟรี DJVU; ปลอดภัยกว่าและสร้างไฟล์ขนาดเล็กคุณภาพดีกว่า… แต่ไม่ได้รับการสนับสนุนจาก "ยักษ์" อย่าง Adobe



ทุกวันนี้มันกำลังไปทั่วโลก งานที่ Didier Stevens ทำเพื่อเรียกใช้ไบนารีจากเอกสาร PDF. หากมีการใช้เทคนิคนี้ โปรแกรม Adobe Acrobat Readerแสดงข้อความที่สามารถแก้ไขได้บางส่วนตามที่เขาพูดเอง ใน ฟ็อกซ์อิทในทางตรงกันข้ามไม่มีข้อความปรากฏขึ้นและคำสั่งจะถูกดำเนินการโดยไม่มีการแจ้งเตือนใด ๆ

เทคนิคนี้ง่ายตรงไปตรงมาและอันตรายยิ่งกว่านั้นหากเราพิจารณาว่ารูปแบบ PDF เป็นที่ชื่นชอบของผู้หาประโยชน์เมื่อปีที่แล้วซึ่งมีการแสวงหาผลประโยชน์ในระดับสูงมาก

เมื่อเห็นสิ่งนี้ฉันก็จำได้ว่าในหลาย ๆ บทความบนอินเทอร์เน็ตเมื่อพวกเขาพูดถึงวิธีการใช้ประโยชน์จากช่องโหว่ใน PDF พวกเขาพูดว่า "ค้นหาเวอร์ชันของ Acrobat ที่ใช้กับ FOCA เป็นต้น" แล้วสร้างช่องโหว่ FOCA ผู้น่าสงสารติดอยู่ในมะเขือยาวเหล่านั้น ...

สิ่งที่คล้ายกับนั้นคือการสาธิตที่เราเตรียมไว้สำหรับ Security Day ซึ่งเราใช้ช่องโหว่ใน Acrobat Reader (รวมถึงเวอร์ชัน 9) เพื่อรับเชลล์ระยะไกลบนคอมพิวเตอร์ที่มีช่องโหว่ ช่องโหว่ที่ถูกใช้ประโยชน์นั้นถูกระบุว่าเป็น CVE-2009-0927 และการดำเนินการอนุญาตให้ดำเนินการคำสั่งใด ๆ หากซอฟต์แวร์มีช่องโหว่คุณจะได้รับข้อความเช่นเดียวกับที่เห็นในภาพต่อไปนี้:

รูปที่ 1: การใช้ประโยชน์จากเครื่องที่มีช่องโหว่

และการใช้ประโยชน์ที่เราใช้จะเปลี่ยนเส้นทาง Shell ไปยัง IP และพอร์ตที่เราตั้งค่าให้ netcat รับฟัง

รูปที่ 2: ได้รับเชลล์

แน่นอนในเครื่องที่ถูกใช้ประโยชน์กระบวนการ Acrobat Reader กำลังทำงานโดยเข้าร่วมกับคำสั่ง Shell

รูปที่ 3: กระบวนการ Acrobat ที่กำลังทำงานอยู่ระเบิด

เมื่อเห็นอันตรายจากการหาประโยชน์จาก PDF ฉันจึงตัดสินใจอัปโหลดไปยัง VirusTotal เพื่อดูว่าโปรแกรมป้องกันไวรัสทำงานอย่างไรกับการหาประโยชน์เหล่านี้ในเอกสาร pdf เป็นสิ่งสำคัญอย่างยิ่งที่จะต้องคำนึงถึงพฤติกรรมของมันหากเรากำลังพูดถึงเอ็นจิ้นที่ใช้ในโปรแกรมจัดการอีเมลหรือในที่เก็บเอกสารเนื่องจากอยู่ในพื้นที่เหล่านั้นซึ่งมีการเคลื่อนย้ายเอกสาร pdf มากขึ้น ผลลัพธ์ที่ได้จากการใช้ประโยชน์โดยเฉพาะนี้ไม่ได้เลวร้าย แต่น่าแปลกใจที่ยังมีเครื่องยนต์จำนวนมากที่ตรวจไม่พบ แต่เปอร์เซ็นต์ไม่ถึง 50% และบางตัวก็โดดเด่นเช่นเดียวกับ Kaspersky McAffe หรือ Fortinet

ด้วยความอยากรู้อยากเห็นฉันจึงใช้ file packer เพื่อสร้างไฟล์ปฏิบัติการคล้ายกับที่รักของเรา หนอนแดง ของ Thor แต่มีฟังก์ชันที่เรียกว่าน้อยกว่า Jiji และมี เห็นใน Cyberhadesเพื่อดูว่าเอนจินป้องกันมัลแวร์ทำอะไรบ้างเมื่อเราใส่ไฟล์ pdf ในแพ็คเกจที่มีนามสกุล exe

รูปที่ 5: เราใส่ไฟล์ pdf เพียง 1 ไฟล์

รูปที่ 6: สิ่งที่ดำเนินการเมื่อแตกไฟล์

ปฏิบัติการใหม่นี้เมื่อเรียกใช้จะเปิดเอกสารด้วยการใช้ประโยชน์จาก pdf ทางเลือกที่ตรงใจฉันคือ A) พวกเขาแกะมันออกจากกล่องและผู้คนก่อนที่จะค้นพบและ B) พวกเขาเข้าไปตรวจจับสิ่งที่อยู่ข้างในโดยตรงและเซ็นชื่อผู้บรรจุอย่างไรก็ตามผลลัพธ์ที่ได้ก็น่าประหลาดใจ

ตรวจพบเพียง 2 ใน 42 รายโดยเป็นผู้ต้องสงสัย 1 รายและมีเพียง VirusBuster เท่านั้นที่รู้รูปแบบและรับปัญหาในการแกะเนื้อหาเพื่อสแกน

หลังจากเห็นสิ่งนี้ฉันคิดว่าถูกต้องมากที่ Microsoft และ Adobe กำลังพิจารณาอัปเดตซอฟต์แวร์ผ่าน Windows Update และ Microsoft ได้เปิดแพลตฟอร์ม Windows Update Services เพื่อรวมโซลูชันอื่น ๆ เช่นตัวแทน Windows Update Secunia CSIซึ่งทำงานร่วมกับ System Center Configuration Manager และ WSUS

ฟังฉันดีกว่า ใช้รูปแบบฟรี DJVU- มีความปลอดภัยมากขึ้นและสร้างไฟล์ขนาดเล็กคุณภาพดีขึ้น

Fuente: ติดตามข้อมูล


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   Marcoshipe dijo
    มาแล้ว ปี 11

    คำชี้แจง: pdf ยังเป็นรูปแบบฟรี
    และจำเป็นต้องดูว่าใครเป็นคนผิดถ้าฟอร์แมต (PDF) หรือโปรแกรม (Acrobat Reader, Foxit ฯลฯ ) เพราะรูปแบบนั้นดีมาก แต่โปรแกรมที่รันมันแย่มากและ ไม่ใช่หมายความว่าไม่มีโปรแกรมที่ดีที่จะไม่เกิดขึ้นกับพวกเขา (พวกเขาทั้งหมดใช้ Acrobat หรือ Foxit แต่ใน Linux เรามีตัวเลือกอื่น ๆ อีกมากมายสิ่งเหล่านี้จะเสี่ยงหรือไม่)

    ฉันไม่เคยลอง djvu ตอนนี้ฉันดูเล็กน้อยเพื่อดูว่ามันคืออะไรและมันมีบางอย่างที่ฉันไม่ชอบในช่วงเวลาเล็ก ๆ ที่ฉันดูคุณไม่สามารถคัดลอกข้อความได้เนื่องจากทุกอย่างเป็น ภาพ ฉันไม่ชอบแบบนั้นฉันมักจะคัดลอกสิ่งต่าง ๆ จาก pdf ที่ฉันอ่าน
    ฉันไม่รู้ว่าฉันจะใช้มันเยอะหรือเปล่าฉันคิดว่าฉันชอบปรับปรุงรูปแบบ pdf ซึ่งเป็นเวกเตอร์
    ขอแสดงความนับถือ

    ตอบกลับ marcoshipe
  2.   มาใช้ Linux กันเถอะ dijo
    มาแล้ว ปี 11

    เรียน Marcos ความคิดเห็นของคุณตรงประเด็น PDF เป็นรูปแบบที่เป็นกรรมสิทธิ์ แต่ตั้งแต่วันที่ 1 กรกฎาคม 2008 เป็นรูปแบบเปิด
    อย่างไรก็ตามมันเป็นความจริงอย่างที่คุณพูดบางครั้งลูกค้า / ผู้อ่านมีส่วนเกี่ยวข้องกับมันมาก ตัวอย่างที่ชัดเจนคือกรณีที่แจ้งในโพสต์นี้
    และใช่ฉันไม่ชอบที่จะไม่สามารถคัดลอกข้อความของ. djvu ได้ 🙁อย่างไรก็ตามในหน้าวิกิพีเดียภาษาอังกฤษระบุว่า: «ดังนั้นแทนที่จะบีบอัดตัวอักษร« e »ในแบบอักษรที่กำหนดหลาย ๆ ครั้งมันจะบีบอัดตัวอักษร« e »หนึ่งครั้ง (เป็นภาพบิตบีบอัด) จากนั้นบันทึกทุกสถานที่ บนเพจเกิดขึ้น
    อีกทางหนึ่งรูปร่างเหล่านี้อาจถูกแมปกับรหัส ASCII (ด้วยมือหรือระบบจดจำข้อความ) และเก็บไว้ในไฟล์ DjVu หากการแมปนี้มีอยู่คุณสามารถเลือกและคัดลอกข้อความได้» ซึ่งหมายความว่าคุณสามารถเลือกข้อความใน djvus

    ตอบสนองต่อ Let's Use Linux