|
En bài đăng tuyệt vời này được ra mắt ngày hôm nay Thông tin theo dõi, một trong những lỗ hổng mới nhất và nguy hiểm nhất trong tệp PDF đã được báo cáo, xác nhận những gì chúng tôi đã nêu trong bài viết của chúng tôi ngày hôm qua. Tôi sẽ kể cho bạn nghe ý nghĩa của câu chuyện: hay hơn sử dụng định dạng DJVU miễn phí; Nó an toàn hơn và tạo ra các tệp nhỏ hơn, chất lượng tốt hơn... chỉ là nó không có sự hỗ trợ của một "gã khổng lồ" như Adobe. |
Ngày nay nó đang đi khắp thế giới công việc mà Didier Stevens đã thực hiện để chạy các tệp nhị phân từ một tài liệu PDF. Kỹ thuật này, nếu nó đang được sử dụng Adobe Acrobat Reader, hiển thị một thông báo có thể được sửa đổi một phần, như chính anh ấy nói. TRONG FoxItngược lại, không có thông báo nào được hiển thị và các lệnh có thể được thực thi mà không có bất kỳ cảnh báo nào.
Kỹ thuật này đơn giản, đơn giản và do đó rất nguy hiểm, thậm chí còn nguy hiểm hơn nếu tính đến việc định dạng PDF được những kẻ khai thác yêu thích vào năm ngoái, đạt mức độ khai thác rất cao.
Nhìn thấy điều này, tôi nhớ rằng trong nhiều bài viết trên Internet, khi họ nói về cách khai thác lỗ hổng trong PDF, họ nói những câu như “xác định phiên bản Acrobat họ đang sử dụng, ví dụ như FOCA” và sau đó xây dựng khai thác. FOCA tội nghiệp bị mắc kẹt trong những quả cà tím đó...
Một thứ tương tự như vậy là bản demo mà chúng tôi đã chuẩn bị cho Ngày Bảo mật, trong đó chúng tôi đã lợi dụng lỗ hổng trong Acrobat Reader (bao gồm cả phiên bản 9) để lấy Shell từ xa trên máy tính dễ bị tấn công. Lỗ hổng bị khai thác được phân loại là CVE-2009-0927 và hoạt động của nó cho phép bất kỳ lệnh nào được thực thi. Nếu phần mềm có lỗ hổng, bạn sẽ nhận được thông báo giống như thông báo trong hình sau:
Và cách khai thác mà chúng tôi đã sử dụng sẽ chuyển hướng Shell đến IP và cổng mà chúng tôi đã đặt netcat để nghe.
Tất nhiên, trên máy bị khai thác, quy trình Acrobat Reader vẫn chạy, phản hồi các lệnh Shell.
Nhận thấy mức độ nguy hiểm của các cách khai thác PDF, tôi quyết định tải chúng lên VirusTotal để xem các công cụ chống vi-rút hoạt động như thế nào với những cách khai thác này trong tài liệu PDF. Điều đặc biệt quan trọng là phải tính đến hành vi của nó nếu chúng ta đang nói về công cụ được sử dụng trong trình quản lý email hoặc trong kho lưu trữ tài liệu, vì nó nằm trong những lãnh thổ nơi hầu hết các tài liệu PDF di chuyển. Kết quả, với cách khai thác cụ thể này, không tệ, nhưng thật đáng ngạc nhiên là vẫn còn một số lượng lớn công cụ không phát hiện ra nó, nhưng tỷ lệ phần trăm không đạt tới 50% và một số trong số đó, nổi bật như Kaspersky, McAffe hoặc Fortinet.
Vì tò mò, tôi chợt nảy ra ý định sử dụng một trình đóng gói tệp để tạo các tệp thực thi, tương tự như công cụ yêu thích của chúng tôi. chất kết dính lại của Thor, nhưng có ít chức năng hơn được gọi là Jiji và đã có nhìn thấy ở Cyberhades, để xem công cụ chống phần mềm độc hại đã làm gì khi chúng tôi đặt phần khai thác pdf vào trong một gói có phần mở rộng exe.
Tệp thực thi mới này, khi được thực thi, sẽ khởi chạy tài liệu có khai thác pdf. Các lựa chọn thay thế nảy ra trong đầu tôi là: A) họ mở gói và những người trước đó phát hiện ra nó và B) họ trực tiếp khám phá những gì bên trong và ký tên vào người đóng gói. Tuy nhiên, kết quả thật đáng ngạc nhiên.
Chỉ có 2 trong số 42 người phát hiện ra nó, 1 người đáng ngờ và chỉ VirusBuster biết định dạng và chịu khó giải nén nội dung để quét nó.
Sau khi thấy điều này, tôi thấy rất thích hợp khi Microsoft và Adobe đang xem xét cập nhật phần mềm thông qua Windows Update và Microsoft đã mở nền tảng Windows Update Services của mình để tích hợp các giải pháp khác như tác nhân Windows Update vào tác nhân Windows Update. Secunia CSI, hoạt động với Trình quản lý cấu hình trung tâm hệ thống và WSUS.
Hãy nghe tôi, tốt hơn sử dụng định dạng DJVU miễn phí- Nó an toàn hơn và tạo ra các tệp nhỏ hơn, chất lượng tốt hơn.
Fuente: Thông tin theo dõi
Xin làm rõ: PDF cũng là một định dạng miễn phí.
Và chúng ta sẽ phải xem đó là lỗi của ai, là định dạng (PDF) hay các chương trình (Acrobat Reader, Foxit, v.v.) vì định dạng có thể rất tốt, nhưng chương trình thực thi nó lại rất tệ, và điều đó đúng là như vậy. không phải Điều đó có nghĩa là không có chương trình tốt nào mà điều này không xảy ra với họ (mọi người đều sử dụng Acrobat hoặc Foxit, nhưng trong Linux, chúng tôi có nhiều tùy chọn hơn, liệu những tùy chọn này có dễ bị tấn công không?)
Mình chưa thử djvu bao giờ, bây giờ nhìn một chút xem nó là gì, và nó có một điều nho nhỏ là mình không thích trong thời gian ngắn này mà mình nhận thấy, bạn không thể sao chép văn bản, vì mọi thứ đều là hình ảnh. Tôi không thích như vậy, tôi thường sao chép mọi thứ từ các tệp PDF mà tôi đã đọc.
Tôi không biết liệu tôi có sử dụng nó nhiều không, tôi nghĩ tôi thích định dạng pdf được cải thiện hơn, đó là vector.
liên quan
Marcos thân mến, nhận xét của bạn là chính xác. PDF là định dạng độc quyền, nhưng kể từ ngày 1 tháng 2008 năm XNUMX, nó là định dạng mở.
Dù sao thì đúng là bạn nói rằng đôi khi khách hàng/độc giả có liên quan nhiều đến nó. Một ví dụ rõ ràng là trường hợp được báo cáo trong bài viết này.
Và vâng, tôi cũng không muốn sao chép văn bản từ .djvu. 🙁 Tuy nhiên, trên trang Wikipedia tiếng Anh có ghi rằng: «Như vậy, thay vì nén một chữ cái «e» trong một phông chữ nhất định nhiều lần, nó nén chữ «e» một lần (dưới dạng ảnh bit nén) rồi ghi lại mọi vị trí trên trang nó xảy ra.
Theo tùy chọn, những hình dạng này có thể được ánh xạ tới mã ASCII (có thể được nhận dạng bằng tay hoặc có thể bằng hệ thống văn bản) và được lưu trữ trong tệp DjVu. Nếu ánh xạ này tồn tại, bạn có thể chọn và sao chép văn bản.» Điều đó có nghĩa là bạn có thể chọn văn bản trong djvus.