Escape From PDF

Escape From PDF זאת הכותרת, שחוקר האבטחה Didier Stevens קרא לפוסט שלו, שבו פרסם דוגמא מעניינת
ל-Hacking ללא ניצול של שום חולשת אבטחה.
 
Didier Stevens מציג שיטה מעניינת, המשלבת בעיקר "הנדסה חברתית" לגרום למשתמשים לאשר הרצה של
פקודות על מחשבם דרך קבצי PDF באופן כמעט שקוף. הבחור גם כתב PoC, אך עוד לא פרסם אותו נכון לכתיבת 
שורות אלו.

הרעיון הוא פשוט מאוד- כאשר רוצים לבצע הרצה של קובץ מקורי או פקודה על המחשב המקומי ע"י קבצי PDF (כמו
למשל בעזרת Launch/  ו-Action/). התוכנה שאיתה צופים בקובץ (ה-PDF Viewer) כמובן תציג הודעת אזהרה 
בסיגנון הבא:
 
 
(התמונות נלקחו מהפוסט המקורי בבלוג של Didier Stevens)

ותציג גם את הקובץ או הפקודה שאותו הקובץ המקורי מנסה להריץ.
 
הודעות אלו ימנעו מהמשתמש, אפילו התמים ביותר (?) לאשר את הרצת התוכנית, אך Didier Stevens מסביר, כי
ניתן לשלוט בתוכן ההודעה וע"י הוספת מספר רב של ירידת-שורה וכתיבת הודעה חדשה, אפשר "לשכתב" את
המידע.
 
(המידע קיים- פשוט בעת קפיצת האזהרה- פס הגלילה נצמד לתחתית ההודעה ולא לראשיתה), מה שמאפשר להעלים
לגמרי את שם הקובץ:
 

ואף ליצור הודעות הנראת לגיטימיות ביותר, כגון זאת:
 


כמובן שכאשר המשתמש יאשר את פתיחת הקובץ (לחיצה על "Open") - תבוצע הפקודה המקורית.
המקרים פעלו באופן יעיל גם ב-Adobe Reader וגם ב-Foxit Reader.

בעזרת שינוי קל של ה-PoC הוא הציג דוגמא נוספת אשר תפעל על ה-Foxit Reader, אותה הוא פרסם תחת הפוסט
"Escape from foxit reader".

כאשר התוכנה מריצה את הקובץ היא יוצרת תהליך חדש במערכת ההפעלה, ולכן Didier Stevens המליץ להשתמש
בטריק קטן שהוא הציג לקראת לסוף שנת 2009 הנועד למנוע ממקרים כאלה להתרחש, אפשר לקרוא על הטריק
בבלוג שלו, תחת הפוסט: "Preventing applications from starting malicious applications" - מומלץ לקרוא.

נכון שלא מדובר כאן בשום באג, אך לדעתי, בכדי לפתור בעיה זאת פשוט מאוד על מפתחי האפליקציות הנ"ל
לבצע עריכה קטנה באפליקציה שלהם, וכך, כאשר תוצג הודעת השגיאה יהיה עליהן להצמיד את פס הגלילה לתחילת
ההודעה ולא לסופה. שאגב, זה מוזר מאוד שהמצב הוא לא כזה- מתחילים בדרך כלל לקרוא הודעה מתחילתה ולא
מסופה.


תגובות על 'Escape From PDF':



#1 

m1ch43l1014:
אחלה פוסט :]
שיטה מאוד מעניינת :]
תודה על הקישורים.
06.04.2010 02:31:54

#2 

cp77fk4r:
פורסמו היום עדכונים בבלוג שלו- שווה לקרוא:
http://blog.didierstevens.com/2010/04/06/update-escape-from-pdf

החבר'ה האלה זריזים :)
06.04.2010 16:48:41

#3 

שלום דימנט (אורח):
אחלה עדכון, ממש מעניין! תודה רבה
06.04.2010 21:08:11

#4 

ירון (אורח):
יש לי שאלה קצת יותר מורכבת
הפריצות האלו קשורות בתכונות ההפעלה של הקוראים האלה
אז בפועל הפרצה היא לא בקבצים אלא מתבצעת דרך הקבצים אל המציג
שאלתי היא האם יש משהו שניתן לבצע על sumatra כדי לנצל פרצות אלה?
האם יש שיטה לנצל פרצה דומה בלינוקס?
07.04.2010 00:04:24

#5 

cp77fk4r:
היי ירון, אתה צודק שהמתקפה הזאת מתאפשרת מפני חולשה הנמצאת בתוכנת הפענוח ולא בפורמט הקובץ עצמו (כמו בעצם, רב (אם לא כל) מתקפות ה-Client Side).

במידה והמאפיין שאותו מנצלים (פס הגלילה נצמד לסוף ההודעה ולא לתחילתה) קיים גם ב-sumatra יהיה ניתן לבצע את המתקפה גם על התוכנה הנ"ל.

בכל אופן- אתה תמיד מוזמן להשאיר לבחור את שאלתך בבלוג שלו ואני בטוח שהוא ישמח לברר בשבילך.
07.04.2010 10:09:28

#6 

cp77fk4r:
Adobe שחררה עדכון לחשיפה!
א'- עוצב מחדש חלון ההזהרה.
ב'- הכניסו את התמיכה בפונקצית ה-"Launch" ל-Disable כברירת מחדל!

פרטים נוספים אפשר למצוא בבלוג של Adobe:
http://blogs.adobe.com/adobereader/2010/06/adobe_reader_and_acrobat_933_a.html

וכאן, בבלוג של החוקר Didier Stevens, מגלה החשיפה:
http://blog.didierstevens.com/2010/06/29/quickpost-no-escape-from-pdf/
29.06.2010 22:39:37



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.