En โพสต์ที่ยอดเยี่ยมนี้ ที่ออกมาในวันนี้ ติดตามข้อมูลหนึ่งในช่องโหว่สุดท้ายและอันตรายที่สุดของ PDF มีการรายงานเพื่อยืนยันสิ่งที่เรายกมา โพสต์ของเราเมื่อวานนี้. ฉันพัฒนาคุณธรรมของเรื่องราว: ดีกว่า ใช้รูปแบบฟรี DJVU; ปลอดภัยกว่าและสร้างไฟล์ขนาดเล็กคุณภาพดีกว่า… แต่ไม่ได้รับการสนับสนุนจาก "ยักษ์" อย่าง Adobe |
ทุกวันนี้มันกำลังไปทั่วโลก งานที่ Didier Stevens ทำเพื่อเรียกใช้ไบนารีจากเอกสาร PDF. หากมีการใช้เทคนิคนี้ โปรแกรม Adobe Acrobat Readerแสดงข้อความที่สามารถแก้ไขได้บางส่วนตามที่เขาพูดเอง ใน ฟ็อกซ์อิทในทางตรงกันข้ามไม่มีข้อความปรากฏขึ้นและคำสั่งจะถูกดำเนินการโดยไม่มีการแจ้งเตือนใด ๆ
เทคนิคนี้ง่ายตรงไปตรงมาและอันตรายยิ่งกว่านั้นหากเราพิจารณาว่ารูปแบบ PDF เป็นที่ชื่นชอบของผู้หาประโยชน์เมื่อปีที่แล้วซึ่งมีการแสวงหาผลประโยชน์ในระดับสูงมาก
เมื่อเห็นสิ่งนี้ฉันก็จำได้ว่าในหลาย ๆ บทความบนอินเทอร์เน็ตเมื่อพวกเขาพูดถึงวิธีการใช้ประโยชน์จากช่องโหว่ใน PDF พวกเขาพูดว่า "ค้นหาเวอร์ชันของ Acrobat ที่ใช้กับ FOCA เป็นต้น" แล้วสร้างช่องโหว่ FOCA ผู้น่าสงสารติดอยู่ในมะเขือยาวเหล่านั้น ...
สิ่งที่คล้ายกับนั้นคือการสาธิตที่เราเตรียมไว้สำหรับ Security Day ซึ่งเราใช้ช่องโหว่ใน Acrobat Reader (รวมถึงเวอร์ชัน 9) เพื่อรับเชลล์ระยะไกลบนคอมพิวเตอร์ที่มีช่องโหว่ ช่องโหว่ที่ถูกใช้ประโยชน์นั้นถูกระบุว่าเป็น CVE-2009-0927 และการดำเนินการอนุญาตให้ดำเนินการคำสั่งใด ๆ หากซอฟต์แวร์มีช่องโหว่คุณจะได้รับข้อความเช่นเดียวกับที่เห็นในภาพต่อไปนี้:
และการใช้ประโยชน์ที่เราใช้จะเปลี่ยนเส้นทาง Shell ไปยัง IP และพอร์ตที่เราตั้งค่าให้ netcat รับฟัง
แน่นอนในเครื่องที่ถูกใช้ประโยชน์กระบวนการ Acrobat Reader กำลังทำงานโดยเข้าร่วมกับคำสั่ง Shell
เมื่อเห็นอันตรายจากการหาประโยชน์จาก PDF ฉันจึงตัดสินใจอัปโหลดไปยัง VirusTotal เพื่อดูว่าโปรแกรมป้องกันไวรัสทำงานอย่างไรกับการหาประโยชน์เหล่านี้ในเอกสาร pdf เป็นสิ่งสำคัญอย่างยิ่งที่จะต้องคำนึงถึงพฤติกรรมของมันหากเรากำลังพูดถึงเอ็นจิ้นที่ใช้ในโปรแกรมจัดการอีเมลหรือในที่เก็บเอกสารเนื่องจากอยู่ในพื้นที่เหล่านั้นซึ่งมีการเคลื่อนย้ายเอกสาร pdf มากขึ้น ผลลัพธ์ที่ได้จากการใช้ประโยชน์โดยเฉพาะนี้ไม่ได้เลวร้าย แต่น่าแปลกใจที่ยังมีเครื่องยนต์จำนวนมากที่ตรวจไม่พบ แต่เปอร์เซ็นต์ไม่ถึง 50% และบางตัวก็โดดเด่นเช่นเดียวกับ Kaspersky McAffe หรือ Fortinet
ด้วยความอยากรู้อยากเห็นฉันจึงใช้ file packer เพื่อสร้างไฟล์ปฏิบัติการคล้ายกับที่รักของเรา หนอนแดง ของ Thor แต่มีฟังก์ชันที่เรียกว่าน้อยกว่า Jiji และมี เห็นใน Cyberhadesเพื่อดูว่าเอนจินป้องกันมัลแวร์ทำอะไรบ้างเมื่อเราใส่ไฟล์ pdf ในแพ็คเกจที่มีนามสกุล exe
ปฏิบัติการใหม่นี้เมื่อเรียกใช้จะเปิดเอกสารด้วยการใช้ประโยชน์จาก pdf ทางเลือกที่ตรงใจฉันคือ A) พวกเขาแกะมันออกจากกล่องและผู้คนก่อนที่จะค้นพบและ B) พวกเขาเข้าไปตรวจจับสิ่งที่อยู่ข้างในโดยตรงและเซ็นชื่อผู้บรรจุอย่างไรก็ตามผลลัพธ์ที่ได้ก็น่าประหลาดใจ
ตรวจพบเพียง 2 ใน 42 รายโดยเป็นผู้ต้องสงสัย 1 รายและมีเพียง VirusBuster เท่านั้นที่รู้รูปแบบและรับปัญหาในการแกะเนื้อหาเพื่อสแกน
หลังจากเห็นสิ่งนี้ฉันคิดว่าถูกต้องมากที่ Microsoft และ Adobe กำลังพิจารณาอัปเดตซอฟต์แวร์ผ่าน Windows Update และ Microsoft ได้เปิดแพลตฟอร์ม Windows Update Services เพื่อรวมโซลูชันอื่น ๆ เช่นตัวแทน Windows Update Secunia CSIซึ่งทำงานร่วมกับ System Center Configuration Manager และ WSUS
ฟังฉันดีกว่า ใช้รูปแบบฟรี DJVU- มีความปลอดภัยมากขึ้นและสร้างไฟล์ขนาดเล็กคุณภาพดีขึ้น
Fuente: ติดตามข้อมูล
คำชี้แจง: pdf ยังเป็นรูปแบบฟรี
และจำเป็นต้องดูว่าใครเป็นคนผิดถ้าฟอร์แมต (PDF) หรือโปรแกรม (Acrobat Reader, Foxit ฯลฯ ) เพราะรูปแบบนั้นดีมาก แต่โปรแกรมที่รันมันแย่มากและ ไม่ใช่หมายความว่าไม่มีโปรแกรมที่ดีที่จะไม่เกิดขึ้นกับพวกเขา (พวกเขาทั้งหมดใช้ Acrobat หรือ Foxit แต่ใน Linux เรามีตัวเลือกอื่น ๆ อีกมากมายสิ่งเหล่านี้จะเสี่ยงหรือไม่)
ฉันไม่เคยลอง djvu ตอนนี้ฉันดูเล็กน้อยเพื่อดูว่ามันคืออะไรและมันมีบางอย่างที่ฉันไม่ชอบในช่วงเวลาเล็ก ๆ ที่ฉันดูคุณไม่สามารถคัดลอกข้อความได้เนื่องจากทุกอย่างเป็น ภาพ ฉันไม่ชอบแบบนั้นฉันมักจะคัดลอกสิ่งต่าง ๆ จาก pdf ที่ฉันอ่าน
ฉันไม่รู้ว่าฉันจะใช้มันเยอะหรือเปล่าฉันคิดว่าฉันชอบปรับปรุงรูปแบบ pdf ซึ่งเป็นเวกเตอร์
ขอแสดงความนับถือ
เรียน Marcos ความคิดเห็นของคุณตรงประเด็น PDF เป็นรูปแบบที่เป็นกรรมสิทธิ์ แต่ตั้งแต่วันที่ 1 กรกฎาคม 2008 เป็นรูปแบบเปิด
อย่างไรก็ตามมันเป็นความจริงอย่างที่คุณพูดบางครั้งลูกค้า / ผู้อ่านมีส่วนเกี่ยวข้องกับมันมาก ตัวอย่างที่ชัดเจนคือกรณีที่แจ้งในโพสต์นี้
และใช่ฉันไม่ชอบที่จะไม่สามารถคัดลอกข้อความของ. djvu ได้ 🙁อย่างไรก็ตามในหน้าวิกิพีเดียภาษาอังกฤษระบุว่า: «ดังนั้นแทนที่จะบีบอัดตัวอักษร« e »ในแบบอักษรที่กำหนดหลาย ๆ ครั้งมันจะบีบอัดตัวอักษร« e »หนึ่งครั้ง (เป็นภาพบิตบีบอัด) จากนั้นบันทึกทุกสถานที่ บนเพจเกิดขึ้น
อีกทางหนึ่งรูปร่างเหล่านี้อาจถูกแมปกับรหัส ASCII (ด้วยมือหรือระบบจดจำข้อความ) และเก็บไว้ในไฟล์ DjVu หากการแมปนี้มีอยู่คุณสามารถเลือกและคัดลอกข้อความได้» ซึ่งหมายความว่าคุณสามารถเลือกข้อความใน djvus