W poprzednim odcinku.
Witam w drugiej części bliskich spotkań ze złośliwymi plikami PDF. W poprzednim odcinku przedstawione zostały informacje na temat budowy i potencjalnego zagrożenia jakim stają się pliki PDF. Szerokie możliwości jakie oferuje format zwróciły uwagę grup, które wykorzystując jego popularność rozpowszechniają wirusy, trojany i innego rodzaju złośliwe oprogramowanie. W poniższym artykule postaram się pokazać sposoby obrony przed atakami z wykorzystaniem plików PDF. Osoby bardziej zainteresowane znajdą opis w jaki sposób sprawdzić czy dany plik jest złośliwy i ewentualnie wyłuskać kod odpowiedzialny za zarażenie komputera.
Jak się (nie) zarazić.
Najwięcej złośliwych plików PDF udało się znaleźć na skompromitowanych serwisach WWW. Były one wykorzystywane jako jedna z metod infekowania komputerów poprzez przeglądarki WWW. Odkąd razem z Adobe Acrobat Reader’em instalowane są rozszerzenia do przeglądarek ta forma rozprzestrzeniania się zagrożeń związanych z plikami PDF jest najczęściej wykorzystywana. Typowym sposobem jest otwieranie pliku PDF w tzw. ramce pływającej (IFRAME), która jest niewidoczna dla użytkownika. W tle uruchamiana jest wtyczka, która otwiera przesłany plik i tym samym powoduje infekcję maszyny. Bardzo rzadko ale także zdarzają się złośliwe pliki PDF przesyłane w postaci załączników w SPAM’ie. W takim przypadku wymagana jest interakcja z użytkownikiem i zachęcenie go do otwarcia takiego pliku.
Ochroną przed zarażeniem się poprzez pliki PDF jest przede wszystkim zdrowy rozsądek. Nie należy otwierać plików pochodzących z nieznanych źródeł. Dobrą praktyką jest także wyłączenie obsługi plików PDF w przeglądarce. Dodatkowo możemy wyłączyć obsługę JavaScript’u w programie Adobe Acrobat Reader, lecz nie jest to rozwiązanie do końca skuteczne. Ale o tym za chwilę.
(more…)
Wszędobylski PDF.
Każdy z nas spotkał się z plikami PDF. Są one jednym z najpopularniejszych formatów służącym do przenoszenia i udostępniania informacji. Gdy w 1993 Adobe Systems opracowało jego pierwszą wersję najprawdopodobniej nie podejrzewało, że wzbudzi on tak duże zainteresowanie. Obecnie obsługa plików PDF jest możliwa w każdym systemie operacyjnym oraz w większości urządzeń przenośnych z uwzględnieniem najnowszych telefonów komórkowych. Powszechność formatu szybko wzbudziła zainteresowanie środowisk, które specjalizują się w poszukiwaniach podatności w programach oraz potencjalnych metod ich wykorzystania. Nie trzeba było długo czekać, aby w sieci pojawiły się pierwsze złośliwe pliki PDF wykorzystujące luki w najpopularniejszym programie do odczytu – Adobe Acrobat Readerze. Znaczny wzrost ilości krążących w sieci złośliwych PDF’ów nastąpił w drugiej połowie 2008 roku. Miało to najprawdopodobniej związek z uwolnieniem standardu przez Adobe Systems w lipcu 2008 i publikacją pełnego dokumentu opisującego strukturę i funkcjonalność formatu.
Udział procentowy aktywnych w sieci typów exploitów
związanych z plikami PDF
(w odniesieniu do maksimum aktywności w październiku 2008)
Źródło: Microsoft Security Intelligence Report volume 6 (July through December 2008)
CVE-2007-5659 – exploit związany z podatnością funkcji JavaScript CollabEmailInfo
CVE-2008-2992 – exploit związany z podatnością funkcji util.printf
