Plus besoin de vulnérabilité pour exploiter les PDF malicieux
Un chercheur publie un « Proof of Concept », communiqué aux éditeurs

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 08/04/10

Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"

Suite au "proof of concept" (POC) de Didier Stevens qui montrait comment réaliser une attaque en utilisant un PDF malicieux (une méthode qui, en ce qui concerne Adobe, impliquait une forte part d'"ingénierie sociale", autrement dit de manipulation de l'utilisateur par l'affichage d'un message modifiée) , Adobe a décidé d'apporter des modifications à ses applications (Acrobat et Reader).

En attendant que celles-ci soient effectives, la société vient d'éditer deux recommandations pour contrer l'attaque décrite dans le POC, attaque qui rappelons le ne repose sur aucune vulnérabilité (lire ci-avant).

Steve Gottwals, responsables de produits, indique qu'il suffit de décocher une case dans la section "trust manager" du menu "préférences" pour que les applications externes ne puissent plus être lancées depuis un PDF.

La deuxième méthode consiste à modifier le registre de Windows.

Il faut alors ajouter la valeur DWORD à la clef HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals :

Code : Sélectionner tout
1
2
3
Name: bAllowOpenFile 
Type: REG_DWORD 
Data: 0
Une deuxième modification empêche l'utilisateur de ré-activer cette fonction :

Code : Sélectionner tout
1
2
3
Name: bSecureOpenFile 
Type: REG_DWORD 
Data: 1
Bon à savoir.

Et à appliquer.

Source : Le billet de Steve Gottwals

MAJ de Gordon Fowler

Plus besoin de vulnérabilité pour exploiter les PDF malicieux
Un chercheur en sécurité publie un "Proof of Concept" qu'il a communiqué aux éditeurs

Didier Stevens est un chercheur en sécurité qui vient de sérieusement ébranler le format PDF. Il a en effet publié un "Proof of Concept" (une démonstration qui, volontairement, ne va pas jusqu'au bout) - ou PoC - qui permet de lancer l'exécution d'un code via une ligne de commande dans un document PDF.

Avec cette méthode, Didier Stevens arrive par exemple à lancer et à faire tourner une calculatrice.

Le PoC présenté sur son blog a été réalisé avec Adobe Reader 9.3.1 sur Windows XP SP3 et Windows 7. Mais il fonctionne également - si ce n'est mieux - avec FoxIT.

Le chercheur précise d'entrée que cette manipulation est faite "sans exploiter la moindre vulnérabilité".

Dans Adobe Reader, un message d'alerte informe néanmoins l'utilisateur qu'un évènement anormal est en train de se produire. Mais là encore, Didier Stevens a mis au point un stratagème simple qui consiste à modifier une partie du message pour "berner" l'attention de l'utilisateur.

Mais sur Foxit Reader, aucun message d'alerte ne vient prévenir la victime

Comment prévenir cette attaque ?

"Avec Adobe Reader, la seule chose à faire pour se protéger est d'être attentif. Désactiver JavaScript ne changera rien (je n'utilise pas JavaScript dans ce PoC), et patcher Adobe Reader n'est pas possible (je n'exploite aucune vulnérabilité, j'ai juste fait preuve d'imagination avec les spécifications des PDF [NDR : qui sont un standard de la International Organization for Standardization - ISO PDF 32000-1:2008)", écrit Didier Stevens sur son blog.

Ne tombons pas non plus dans la paranoïa, la manipulation n'est pas des plus aisées. Dans ses commentaires, Didier Stevens indique en effet qu'une attaque complète nécessiterait 5 étapes successives. Sa démonstration n'expose que la première.

Mais surtout, il a contacté FoxIT - qui devrait sortir un correctif de sécurité dès ce week-end- et il a "partagé ce PoC avec Adobe. Peut-être sortiront-ils une solution pour remédier au problème. [...] Au fait, empêcher Adobe Reader de créer de nouveaux process bloque cette attaque".

Une attaque qui, si elle n'est pas la première sur ce format et reste volontairement inaboutie, n'en est pas moins à connaitre.

[nomedia="http://www.youtube.com/watch?v=jTlwxfRqODs"]YouTube- PDF: Launch a command[/nomedia]

Source : Le blog de Didier Stevens

Lire aussi :

Les PDF impliqués dans 80% des attaques
Microsoft repère un PDF malicieux qui exploite la faille d'Adobe Reader, Adobe pousse à appliquer son patch sorti en urgence

Les rubriques (news, tutos, forums) de Developpez.com

Applications
Sécurité

Et vous ? :

Cette succession de failles/attaques/PoC sur les PDF vous poussent-elles vers des solutions alternatives ? Lesquels ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kaymak kaymak - Membre chevronné https://www.developpez.com
le 02/04/2010 à 12:58
C'est pas nouveau ça, c'est comme les macros dans word.

C'est un vrai -> faux problème. Soit on donne un produit qui ne peut rien faire, et dès qu'on sort du chemin battu on doit payer, soit on sort des outils plus polyvalents, mais qui du coup sont plus vulnérables.
C'est une problématique de politique de sécurité en fonction des environnements.

Tout au plus du Social engineering, mais pas vraiment un exploit qui donnerait lieu à une vulnérabilité.
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 08/04/2010 à 13:24
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"

http://www.developpez.net/forums/d90...t/#post5109724
Avatar de tontonnux tontonnux - Membre expérimenté https://www.developpez.com
le 08/04/2010 à 16:20
Madame Michu va être contente
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 08/04/2010 à 22:25
Citation Envoyé par tontonnux  Voir le message
Madame Michu va être contente

Ba oui Madame Michu faut qu'elle passe la certif Microsoft, c'est comme pour conduire faut le permis Mdame Michu .
Offres d'emploi IT
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil