Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un « proof of concept »
Le 2010-04-02 11:39:51, par Gordon Fowler, Expert éminent sénior
Mise à jour du 08/04/10
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"
Suite au "proof of concept" (POC) de Didier Stevens qui montrait comment réaliser une attaque en utilisant un PDF malicieux (une méthode qui, en ce qui concerne Adobe, impliquait une forte part d'"ingénierie sociale", autrement dit de manipulation de l'utilisateur par l'affichage d'un message modifiée) , Adobe a décidé d'apporter des modifications à ses applications (Acrobat et Reader).
En attendant que celles-ci soient effectives, la société vient d'éditer deux recommandations pour contrer l'attaque décrite dans le POC, attaque qui rappelons le ne repose sur aucune vulnérabilité (lire ci-avant).
Steve Gottwals, responsables de produits, indique qu'il suffit de décocher une case dans la section "trust manager" du menu "préférences" pour que les applications externes ne puissent plus être lancées depuis un PDF.
La deuxième méthode consiste à modifier le registre de Windows.
Il faut alors ajouter la valeur DWORD à la clef HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals :
Une deuxième modification empêche l'utilisateur de ré-activer cette fonction :
Bon à savoir.
Et à appliquer.
Source : Le billet de Steve Gottwals
MAJ de Gordon Fowler
Plus besoin de vulnérabilité pour exploiter les PDF malicieux
Un chercheur en sécurité publie un "Proof of Concept" qu'il a communiqué aux éditeurs
Didier Stevens est un chercheur en sécurité qui vient de sérieusement ébranler le format PDF. Il a en effet publié un "Proof of Concept" (une démonstration qui, volontairement, ne va pas jusqu'au bout) - ou PoC - qui permet de lancer l'exécution d'un code via une ligne de commande dans un document PDF.
Avec cette méthode, Didier Stevens arrive par exemple à lancer et à faire tourner une calculatrice.
Le PoC présenté sur son blog a été réalisé avec Adobe Reader 9.3.1 sur Windows XP SP3 et Windows 7. Mais il fonctionne également - si ce n'est mieux - avec FoxIT.
Le chercheur précise d'entrée que cette manipulation est faite "sans exploiter la moindre vulnérabilité".
Dans Adobe Reader, un message d'alerte informe néanmoins l'utilisateur qu'un évènement anormal est en train de se produire. Mais là encore, Didier Stevens a mis au point un stratagème simple qui consiste à modifier une partie du message pour "berner" l'attention de l'utilisateur.
Mais sur Foxit Reader, aucun message d'alerte ne vient prévenir la victime
Comment prévenir cette attaque ?
"Avec Adobe Reader, la seule chose à faire pour se protéger est d'être attentif. Désactiver JavaScript ne changera rien (je n'utilise pas JavaScript dans ce PoC), et patcher Adobe Reader n'est pas possible (je n'exploite aucune vulnérabilité, j'ai juste fait preuve d'imagination avec les spécifications des PDF [NDR : qui sont un standard de la International Organization for Standardization - ISO PDF 32000-1:2008)", écrit Didier Stevens sur son blog.
Ne tombons pas non plus dans la paranoïa, la manipulation n'est pas des plus aisées. Dans ses commentaires, Didier Stevens indique en effet qu'une attaque complète nécessiterait 5 étapes successives. Sa démonstration n'expose que la première.
Mais surtout, il a contacté FoxIT - qui devrait sortir un correctif de sécurité dès ce week-end- et il a "partagé ce PoC avec Adobe. Peut-être sortiront-ils une solution pour remédier au problème. [...] Au fait, empêcher Adobe Reader de créer de nouveaux process bloque cette attaque".
Une attaque qui, si elle n'est pas la première sur ce format et reste volontairement inaboutie, n'en est pas moins à connaitre.
[nomedia="http://www.youtube.com/watch?v=jTlwxfRqODs"]YouTube- PDF: Launch a command[/nomedia]
Source : Le blog de Didier Stevens
Lire aussi :
Les rubriques (news, tutos, forums) de Developpez.com
Et vous ? :
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"
Suite au "proof of concept" (POC) de Didier Stevens qui montrait comment réaliser une attaque en utilisant un PDF malicieux (une méthode qui, en ce qui concerne Adobe, impliquait une forte part d'"ingénierie sociale", autrement dit de manipulation de l'utilisateur par l'affichage d'un message modifiée) , Adobe a décidé d'apporter des modifications à ses applications (Acrobat et Reader).
En attendant que celles-ci soient effectives, la société vient d'éditer deux recommandations pour contrer l'attaque décrite dans le POC, attaque qui rappelons le ne repose sur aucune vulnérabilité (lire ci-avant).
Steve Gottwals, responsables de produits, indique qu'il suffit de décocher une case dans la section "trust manager" du menu "préférences" pour que les applications externes ne puissent plus être lancées depuis un PDF.
La deuxième méthode consiste à modifier le registre de Windows.
Il faut alors ajouter la valeur DWORD à la clef HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals :
| Code : |
1 2 3 | Name: bAllowOpenFile Type: REG_DWORD Data: 0 |
| Code : |
1 2 3 | Name: bSecureOpenFile Type: REG_DWORD Data: 1 |
Et à appliquer.
Source : Le billet de Steve Gottwals
MAJ de Gordon Fowler
Plus besoin de vulnérabilité pour exploiter les PDF malicieux
Un chercheur en sécurité publie un "Proof of Concept" qu'il a communiqué aux éditeurs
Didier Stevens est un chercheur en sécurité qui vient de sérieusement ébranler le format PDF. Il a en effet publié un "Proof of Concept" (une démonstration qui, volontairement, ne va pas jusqu'au bout) - ou PoC - qui permet de lancer l'exécution d'un code via une ligne de commande dans un document PDF.
Avec cette méthode, Didier Stevens arrive par exemple à lancer et à faire tourner une calculatrice.
Le PoC présenté sur son blog a été réalisé avec Adobe Reader 9.3.1 sur Windows XP SP3 et Windows 7. Mais il fonctionne également - si ce n'est mieux - avec FoxIT.
Le chercheur précise d'entrée que cette manipulation est faite "sans exploiter la moindre vulnérabilité".
Dans Adobe Reader, un message d'alerte informe néanmoins l'utilisateur qu'un évènement anormal est en train de se produire. Mais là encore, Didier Stevens a mis au point un stratagème simple qui consiste à modifier une partie du message pour "berner" l'attention de l'utilisateur.
Mais sur Foxit Reader, aucun message d'alerte ne vient prévenir la victime
Comment prévenir cette attaque ?
"Avec Adobe Reader, la seule chose à faire pour se protéger est d'être attentif. Désactiver JavaScript ne changera rien (je n'utilise pas JavaScript dans ce PoC), et patcher Adobe Reader n'est pas possible (je n'exploite aucune vulnérabilité, j'ai juste fait preuve d'imagination avec les spécifications des PDF [NDR : qui sont un standard de la International Organization for Standardization - ISO PDF 32000-1:2008)", écrit Didier Stevens sur son blog.
Ne tombons pas non plus dans la paranoïa, la manipulation n'est pas des plus aisées. Dans ses commentaires, Didier Stevens indique en effet qu'une attaque complète nécessiterait 5 étapes successives. Sa démonstration n'expose que la première.
Mais surtout, il a contacté FoxIT - qui devrait sortir un correctif de sécurité dès ce week-end- et il a "partagé ce PoC avec Adobe. Peut-être sortiront-ils une solution pour remédier au problème. [...] Au fait, empêcher Adobe Reader de créer de nouveaux process bloque cette attaque".
Une attaque qui, si elle n'est pas la première sur ce format et reste volontairement inaboutie, n'en est pas moins à connaitre.
[nomedia="http://www.youtube.com/watch?v=jTlwxfRqODs"]YouTube- PDF: Launch a command[/nomedia]
Source : Le blog de Didier Stevens
Lire aussi :
Les rubriques (news, tutos, forums) de Developpez.com
Et vous ? :
-
kaymakMembre émériteC'est pas nouveau ça, c'est comme les macros dans word.
C'est un vrai -> faux problème. Soit on donne un produit qui ne peut rien faire, et dès qu'on sort du chemin battu on doit payer, soit on sort des outils plus polyvalents, mais qui du coup sont plus vulnérables.
C'est une problématique de politique de sécurité en fonction des environnements.
Tout au plus du Social engineering, mais pas vraiment un exploit qui donnerait lieu à une vulnérabilité.le 02/04/2010 à 12:58 -
Gordon FowlerExpert éminent séniorAdobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
Mise à jour la semaine dernière dans un "proof of concept"
http://www.developpez.net/forums/d90...t/#post5109724le 08/04/2010 à 13:24 -
tontonnuxMembre expérimentéMadame Michu va être contentele 08/04/2010 à 16:20
-
Ba oui Madame Michu faut qu'elle passe la certif Microsoft, c'est comme pour conduire faut le permis Mdame Michu
. le 08/04/2010 à 22:25