Ang mapanganib na mundo ng PDF

Alejandro (a.k.a KZKG^Gaara)

4 Minutos

 En ang mahusay na post na ito na lumabas ngayon sa Follow-Info, ang isa sa huli at pinaka-mapanganib na kahinaan ng mga PDF ay naiulat, na kinukumpirma kung ano ang naitaas namin ang post namin kahapon. Isusulong ko ang moral ng kwento: mas mabuti gamitin ang libreng format na DJVU; mas ligtas ito at lumilikha ng mas maliit, mas mahusay na kalidad na mga file ... hindi lamang ito sinusuportahan ng isang "higanteng" kagaya ng Adobe.



Ang mga araw na ito ay nangyayari sa buong mundo ang gawaing nagawa ni Didier Stevens upang maipatupad ang mga binary mula sa isang PDF document. Ang pamamaraan, kung ginagamit ito Adobe Acrobat Reader, ay nagpapakita ng isang mensahe na maaaring, tulad ng sinabi niya mismo, na bahagyang nabago. Sa FoxItsa laban, walang mensahe ang ipinapakita at ang mga utos ay naisakatuparan nang walang anumang mga alerto.

Ang pamamaraan na ito ay simple, deretso, at samakatuwid ay lubhang mapanganib, kung isasaalang-alang natin na ang format na PDF ay ang paborito ng mga nagsasamantala noong nakaraang taon, na umaabot sa napakataas na antas ng pagsasamantala.

Nakita ito, naalala ko na sa maraming mga artikulo sa Internet, kapag pinag-uusapan nila kung paano pagsamantalahan ang mga kahinaan sa PDF sinasabi nila ang mga bagay tulad ng "Hanapin ang bersyon ng Acrobat na ginagamit nila, kasama ang FOCA, halimbawa" at pagkatapos ay itayo ang pagsasamantala. Ang mahirap na FOCA ay natigil sa mga eggplants na iyon ...

Isang bagay na katulad nito ay ang demo na inihanda namin para sa Araw ng Seguridad, kung saan pinagsamantalahan namin ang isang kahinaan sa Acrobat Reader (kasama ang bersyon 9) upang makakuha ng isang malayuang Shell sa mahina na computer. Ang pinagsamantalahan na kahinaan ay nailarawan bilang CVE-2009-0927 at ang operasyon nito ay nagbibigay-daan upang magpatupad ng anumang utos. Kung mahina ang software, makakakuha ka ng isang mensahe tulad ng nakikita sa sumusunod na imahe:

Larawan 1: Pagpapatupad ng pagsasamantala sa mahina na makina

At ang pagsasamantala na ginagamit namin ay nagre-redirect sa Shell sa isang IP at isang port kung saan itinakda namin ang netcat upang makinig.

Larawan 2: Natanggap ang Shell

Siyempre, sa pinagsamantalahan na makina, tumatakbo ang proseso ng Acrobat Reader, na dumadalo sa mga utos ng Shell.

Larawan 3: Ang proseso ng pagpapatakbo ng Acrobat ay sumabog

Nakikita ang panganib ng pagsasamantala sa PDF, nagpasya akong i-upload ito sa VirusTotal, upang makita kung paano kumilos ang mga antivirus engine sa mga pagsasamantalang ito sa mga dokumentong pdf. Lalo na mahalaga na isaalang-alang ang pag-uugali nito kung pinag-uusapan natin ang tungkol sa makina na ginamit sa email manager o sa imbakan ng dokumento, dahil nasa mga teritoryong iyon kung saan maraming mga dokumento sa pdf ang lumilipat. Ang resulta, sa partikular na pagsasamantala na ito, ay hindi masama, ngunit nakakagulat na mayroong pa rin isang mahusay na bilang ng mga engine na hindi nakita ito, ngunit ang porsyento ay hindi umabot sa 50% at, ang ilan sa mga ito, na kapansin-pansin bilang Kaspersky, McAffe o Fortinet.

Bilang isang pag-usisa, naisip ko na gumamit ng isang file packer upang makabuo ng maipapatupad, katulad ng aming mahal redbinder ng Thor, ngunit may mas kaunting mga pagpapaandar na tinawag Jiji at meron nakikita sa Cyberhades, upang makita kung ano ang ginawa ng mga antimalware engine nang inilagay namin ang pagsasamantala ng pdf sa loob ng isang pakete na may isang exe extension.

Larawan 5: Naglalagay lamang kami ng 1 PDF file

Larawan 6: Ano ang naisakatuparan kapag kumukuha

Ang bagong naisakatuparan na ito, kung tatakbo, ay naglulunsad ng dokumento gamit ang pagsasamantala sa pdf. Ang mga kahalili na pumasok sa aking isipan ay: A) tinatanggal nila ito at ang mga tao bago ito tuklasin at B) Dumiretso sila upang tuklasin kung ano ang nasa loob at nilagdaan ang packer. Gayunpaman, nakakagulat ang resulta.

2 lamang sa 42 ang nakakita dito, 1 bilang kahina-hinala at VirusBuster lang ang nakakaalam ng format, at kinuha ang problema, upang maibawas ang nilalaman upang i-scan ito.

Matapos makita ito, tila totoong tama sa akin na isinasaalang-alang ng Microsoft at Adobe ang pag-update ng software sa pamamagitan ng Windows Update at binuksan ng Microsoft ang platform ng Windows Update Services upang isama ang iba pang mga solusyon tulad ng Windows Update agent Secunia CSI, na gumagana sa System Center Configuration Manager at WSUS.

Makinig ka sa akin ng mas mabuti gamitin ang libreng format na DJVU- ay mas ligtas at lumilikha ng mas maliit, mas mahusay na mga file na kalidad.

Fuente: Follow-Info


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   Marcoshipe dijo
    nakararaan 11 taon

    isang paglilinaw: ang pdf ay isang libreng format din.
    at kakailanganin upang makita kung kanino ang kasalanan nito, kung ang format (PDF) o ang mga programa (Acrobat Reader, Foxit, atbp.) sapagkat ang format ay maaaring napakahusay, ngunit ang program na nagpapatupad nito ay napakasama, at iyon ay hindi Nangangahulugan ito na walang mahusay na mga programa na hindi ito nangyayari sa kanila (lahat sila ay gumagamit ng Acrobat o Foxit, ngunit sa Linux marami pa tayong pagpipilian, magiging mahina ba ang mga ito?)

    Hindi ko sinubukan ang djvu, ngayon tumingin ako nang kaunti upang makita kung ano ito, at mayroon itong maliit na bagay na hindi ko gusto sa maliit na oras na tingnan ko ito, hindi mo maaaring kopyahin ang teksto, dahil ang lahat ay isang imahe. Ayoko ng ganun, madalas kumopya ng mga bagay mula sa mga nabasa kong pdfs.
    Hindi ko alam kung gagamitin ko ito ng marami, sa palagay ko mas gusto kong pagbutihin ang format na pdf, na kung saan ay vector.
    tungkol

    Tumugon kay marcoshipe
  2.   Gumamit tayo ng Linux dijo
    nakararaan 11 taon

    Mahal kong Marcos, spot on ang iyong mga komento. Ang PDF ay isang pagmamay-ari na format, ngunit mula noong Hulyo 1, 2008 ito ay isang bukas na format.
    Gayunpaman, totoo ang sinasabi mo na minsan ang mga customer / mambabasa ay maraming kinalaman dito. Ang isang malinaw na halimbawa ay ang kaso na naiulat sa post na ito.
    At oo, ayokong hindi makopya ang teksto ng .djvu alinman. 🙁 Gayunman, sa pahina ng Wikipedya ng Wikipedia sinasabi nito na: «Sa gayon, sa halip na siksikin ang isang titik« e »sa isang naibigay na font nang maraming beses, pinipiga nito ang letrang« e »minsan (bilang isang naka-compress na bit na imahe) at pagkatapos ay itinatala ang bawat lugar sa pahina ito nangyayari.
    Bilang opsyonal, ang mga hugis na ito ay maaaring mai-map sa mga ASCII code (alinman sa pamamagitan ng kamay o potensyal ng isang sistema ng pagkilala sa teksto), at nakaimbak sa DjVu file. Kung mayroon ang pagmamapa na ito, posible na pumili at kumopya ng teksto. » Na nangangahulugang maaari kang pumili ng teksto sa djvus.

    Tumugon sa Gumamit Tayo ng Linux