Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un « proof of concept »

Le , par Gordon Fowler

0PARTAGES

0  0 
Mise à jour du 08/04/10

Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"

Suite au "proof of concept" (POC) de Didier Stevens qui montrait comment réaliser une attaque en utilisant un PDF malicieux (une méthode qui, en ce qui concerne Adobe, impliquait une forte part d'"ingénierie sociale", autrement dit de manipulation de l'utilisateur par l'affichage d'un message modifiée) , Adobe a décidé d'apporter des modifications à ses applications (Acrobat et Reader).

En attendant que celles-ci soient effectives, la société vient d'éditer deux recommandations pour contrer l'attaque décrite dans le POC, attaque qui rappelons le ne repose sur aucune vulnérabilité (lire ci-avant).

Steve Gottwals, responsables de produits, indique qu'il suffit de décocher une case dans la section "trust manager" du menu "préférences" pour que les applications externes ne puissent plus être lancées depuis un PDF.

La deuxième méthode consiste à modifier le registre de Windows.

Il faut alors ajouter la valeur DWORD à la clef HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals :

Code : Sélectionner tout
1
2
3
Name: bAllowOpenFile 
Type: REG_DWORD 
Data: 0
Une deuxième modification empêche l'utilisateur de ré-activer cette fonction :

Code : Sélectionner tout
1
2
3
Name: bSecureOpenFile 
Type: REG_DWORD 
Data: 1
Bon à savoir.

Et à appliquer.

Source : Le billet de Steve Gottwals

MAJ de Gordon Fowler

Plus besoin de vulnérabilité pour exploiter les PDF malicieux
Un chercheur en sécurité publie un "Proof of Concept" qu'il a communiqué aux éditeurs

Didier Stevens est un chercheur en sécurité qui vient de sérieusement ébranler le format PDF. Il a en effet publié un "Proof of Concept" (une démonstration qui, volontairement, ne va pas jusqu'au bout) - ou PoC - qui permet de lancer l'exécution d'un code via une ligne de commande dans un document PDF.

Avec cette méthode, Didier Stevens arrive par exemple à lancer et à faire tourner une calculatrice.

Le PoC présenté sur son blog a été réalisé avec Adobe Reader 9.3.1 sur Windows XP SP3 et Windows 7. Mais il fonctionne également - si ce n'est mieux - avec FoxIT.

Le chercheur précise d'entrée que cette manipulation est faite "sans exploiter la moindre vulnérabilité".

Dans Adobe Reader, un message d'alerte informe néanmoins l'utilisateur qu'un évènement anormal est en train de se produire. Mais là encore, Didier Stevens a mis au point un stratagème simple qui consiste à modifier une partie du message pour "berner" l'attention de l'utilisateur.

Mais sur Foxit Reader, aucun message d'alerte ne vient prévenir la victime

Comment prévenir cette attaque ?

"Avec Adobe Reader, la seule chose à faire pour se protéger est d'être attentif. Désactiver JavaScript ne changera rien (je n'utilise pas JavaScript dans ce PoC), et patcher Adobe Reader n'est pas possible (je n'exploite aucune vulnérabilité, j'ai juste fait preuve d'imagination avec les spécifications des PDF [NDR : qui sont un standard de la International Organization for Standardization - ISO PDF 32000-1:2008)", écrit Didier Stevens sur son blog.

Ne tombons pas non plus dans la paranoïa, la manipulation n'est pas des plus aisées. Dans ses commentaires, Didier Stevens indique en effet qu'une attaque complète nécessiterait 5 étapes successives. Sa démonstration n'expose que la première.

Mais surtout, il a contacté FoxIT - qui devrait sortir un correctif de sécurité dès ce week-end- et il a "partagé ce PoC avec Adobe. Peut-être sortiront-ils une solution pour remédier au problème. [...] Au fait, empêcher Adobe Reader de créer de nouveaux process bloque cette attaque".

Une attaque qui, si elle n'est pas la première sur ce format et reste volontairement inaboutie, n'en est pas moins à connaitre.

[nomedia="http://www.youtube.com/watch?v=jTlwxfRqODs"]YouTube- PDF: Launch a command[/nomedia]

Source : Le blog de Didier Stevens

Lire aussi :

Les PDF impliqués dans 80% des attaques
Microsoft repère un PDF malicieux qui exploite la faille d'Adobe Reader, Adobe pousse à appliquer son patch sorti en urgence

Les rubriques (news, tutos, forums) de Developpez.com

Applications
Sécurité

Et vous ? :

Cette succession de failles/attaques/PoC sur les PDF vous poussent-elles vers des solutions alternatives ? Lesquels ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 02/04/2010 à 12:58
C'est pas nouveau ça, c'est comme les macros dans word.

C'est un vrai -> faux problème. Soit on donne un produit qui ne peut rien faire, et dès qu'on sort du chemin battu on doit payer, soit on sort des outils plus polyvalents, mais qui du coup sont plus vulnérables.
C'est une problématique de politique de sécurité en fonction des environnements.

Tout au plus du Social engineering, mais pas vraiment un exploit qui donnerait lieu à une vulnérabilité.
0  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 08/04/2010 à 13:24
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"

http://www.developpez.net/forums/d90...t/#post5109724
0  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 08/04/2010 à 16:20
Madame Michu va être contente
0  0 
Avatar de
https://www.developpez.com
Le 08/04/2010 à 22:25
Citation Envoyé par tontonnux Voir le message
Madame Michu va être contente
Ba oui Madame Michu faut qu'elle passe la certif Microsoft, c'est comme pour conduire faut le permis Mdame Michu .
0  0