Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"
Suite au "proof of concept" (POC) de Didier Stevens qui montrait comment réaliser une attaque en utilisant un PDF malicieux (une méthode qui, en ce qui concerne Adobe, impliquait une forte part d'"ingénierie sociale", autrement dit de manipulation de l'utilisateur par l'affichage d'un message modifiée) , Adobe a décidé d'apporter des modifications à ses applications (Acrobat et Reader).
En attendant que celles-ci soient effectives, la société vient d'éditer deux recommandations pour contrer l'attaque décrite dans le POC, attaque qui rappelons le ne repose sur aucune vulnérabilité (lire ci-avant).
Steve Gottwals, responsables de produits, indique qu'il suffit de décocher une case dans la section "trust manager" du menu "préférences" pour que les applications externes ne puissent plus être lancées depuis un PDF.
La deuxième méthode consiste à modifier le registre de Windows.
Il faut alors ajouter la valeur DWORD à la clef HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals :
| Code : | Sélectionner tout |
1 2 3 | Name: bAllowOpenFile Type: REG_DWORD Data: 0 |
| Code : | Sélectionner tout |
1 2 3 | Name: bSecureOpenFile Type: REG_DWORD Data: 1 |
Et à appliquer.
Source : Le billet de Steve Gottwals
MAJ de Gordon Fowler
Plus besoin de vulnérabilité pour exploiter les PDF malicieux
Un chercheur en sécurité publie un "Proof of Concept" qu'il a communiqué aux éditeurs
Didier Stevens est un chercheur en sécurité qui vient de sérieusement ébranler le format PDF. Il a en effet publié un "Proof of Concept" (une démonstration qui, volontairement, ne va pas jusqu'au bout) - ou PoC - qui permet de lancer l'exécution d'un code via une ligne de commande dans un document PDF.
Avec cette méthode, Didier Stevens arrive par exemple à lancer et à faire tourner une calculatrice.
Le PoC présenté sur son blog a été réalisé avec Adobe Reader 9.3.1 sur Windows XP SP3 et Windows 7. Mais il fonctionne également - si ce n'est mieux - avec FoxIT.
Le chercheur précise d'entrée que cette manipulation est faite "sans exploiter la moindre vulnérabilité".
Dans Adobe Reader, un message d'alerte informe néanmoins l'utilisateur qu'un évènement anormal est en train de se produire. Mais là encore, Didier Stevens a mis au point un stratagème simple qui consiste à modifier une partie du message pour "berner" l'attention de l'utilisateur.
Mais sur Foxit Reader, aucun message d'alerte ne vient prévenir la victime
Comment prévenir cette attaque ?
"Avec Adobe Reader, la seule chose à faire pour se protéger est d'être attentif. Désactiver JavaScript ne changera rien (je n'utilise pas JavaScript dans ce PoC), et patcher Adobe Reader n'est pas possible (je n'exploite aucune vulnérabilité, j'ai juste fait preuve d'imagination avec les spécifications des PDF [NDR : qui sont un standard de la International Organization for Standardization - ISO PDF 32000-1:2008)", écrit Didier Stevens sur son blog.
Ne tombons pas non plus dans la paranoïa, la manipulation n'est pas des plus aisées. Dans ses commentaires, Didier Stevens indique en effet qu'une attaque complète nécessiterait 5 étapes successives. Sa démonstration n'expose que la première.
Mais surtout, il a contacté FoxIT - qui devrait sortir un correctif de sécurité dès ce week-end- et il a "partagé ce PoC avec Adobe. Peut-être sortiront-ils une solution pour remédier au problème. [...] Au fait, empêcher Adobe Reader de créer de nouveaux process bloque cette attaque".
Une attaque qui, si elle n'est pas la première sur ce format et reste volontairement inaboutie, n'en est pas moins à connaitre.
[nomedia="http://www.youtube.com/watch?v=jTlwxfRqODs"]YouTube- PDF: Launch a command[/nomedia]
Source : Le blog de Didier Stevens
Lire aussi :
Les PDF impliqués dans 80% des attaques Microsoft repère un PDF malicieux qui exploite la faille d'Adobe Reader, Adobe pousse à appliquer son patch sorti en urgence Les rubriques (news, tutos, forums) de Developpez.com
Applications Sécurité Et vous ? :
Cette succession de failles/attaques/PoC sur les PDF vous poussent-elles vers des solutions alternatives ? Lesquels ? 
Envoyé par tontonnux
.