Uno degli articoli più interessanti di Insecure Magazine 21 è “Malicous PDF: Get owned without opening”, scritto da Didier Steves.
Quella di utilizzare documenti multimediali per distribuire malware è una tattica consolidata. Sono stati protagonisti di questa tendenza praticamente tutti i formati più diffusi, dai formati video ai fogli di calcolo Excel, ai Powerpoint. Questa tattica viene ampiamente sfruttata anche per la creazione di botnet.
Negli ultimi mesi è stato il formato PDF ad essere al centro dell’attenzione. In diverse occasioni questo formato è stato vettore di infezioni zero-day.
In genere per innescare l’attività di un virus è necessaria l’interazione dell’utente. Una volta ricevuta l’email maligna, l’utente la consulta, apre l’allegato e parte l’infezione.Didier Stevens ha scoperto che in alcuni casi, anzi in un caso particolare, l’infezione parte senza l’interazione dell’utente. Come? Explorer lavora per gli hacker…
Explorer (ovvero Esplora Risorse, non Internet Explorer) è il programma di Windows che permette di navigare nel file system. Una delle caratteristiche più comode di Explorer è il menù che appare col tasto destro. Questo menù può essere modificato da applicazioni di terze parti, per aggiungere funzionalità. Per esempio, un programma di compressione può aggiungere la voce “comprimi il file…” senza costringere l’utente a peripezie tra icone e menù di avvio per lanciare l’applicazione. Questo è solo un esempio.
Questa caratteristica è resa disponibile da Windows Explorer Shell Extensions. Questo componente di Windows che permette di estendere le funzionalità di Explorer, permette anche di personalizzaere le colonne di infornazione di Explorer stesso, per esempio aggiungendo alle colonne Nome, Dimensione e Tipo altre colonne. Questo avviene tramite il Column Handler Shell Extension. Adobe Reader installa esattamente un Column Handler per aggiungere la colonna Titolo.
Quando un file PDF viene messo in una cartella l’interazione dell’utente non serve; è Explorer, tramite l’estensione installata da Adobe Reader, che si prende cura di accedere al file PDF per estrapolare alcuni dati (in questo caso il titolo) da presentare poi nella colonna Titolo. Ma se il bug si annida proprio negli elementi necessari per questa operazione, la consultazione automatica del PDF innescherà il bug e di seguito l’esecuzione di codice introdotta dall’hacker come payload nel file PDF corrotto, con conseguente infezione o “affiliazione” del sistema ad una botnet.
Penserete voi: una piccola interazione da parte dell’utente c’è. E’ comunque necessario visualizzare il contenuto della cartella. E’ vero, ma è una magra consolazione. Inoltre c’è dell’altro. Se il servizio di indicizzazione diWindows è attivo, l’indicizzazione automatica del PDF innescherà ancora una volta la vulnerabilità. Non solo: il servizio di indicizzazione gira con privilegi system. Di conseguenza l’exploit verrebbe eseguito con i privilegi più alti.
Insomma, è possibile creare PDF corrotti contenenti malware, la cui capacità di infettare il sistema è garantita dal fatto che l’interazione dell’utente non è necessaria.
Le vie dell’infezione virale sono infinite.
Scarica Gratis Insecure Magazine 21
E' disponibile per il download (gratuito) la nuova edizione di Insecure Magazine. La rivista internazionale... La Rivista Insecure Magazine 22 è Online
Puntualmente ogni tre mesi gli appassionati di sicurezza informatica hanno la fortuna di avere a loro... Insecure Magazine 23 è Online
Com'è ormai tradizione di PillolHacking, vi segnalo (con un po' d ritardo) l'uscita del numero 23 di... Scarica Gratuitamente Insecure Magazine 25
Come sta cambiando il penetration testing? Conoscete le tecniche più inusuali di SQL injection? A...
giu 25, 2009 at 23:26:06
Ancora una volta bisogna ammettere che c’è sempre un modo per fregare qualcuno
giu 26, 2009 at 07:45:54
Un modo per evitare questi tipi di infezione sarebbe quello di guardare le e-mail direttamente da web, e, ovviamente, cancellare tutti i messaggi dagli sconosciuti…però il mio thunderbird è così comodo…
giu 26, 2009 at 09:39:52
Oppure la cosa ancora più sicura è di utilizzare un lettore PDF diverso da Acrobat Reader…
io utilizzo Foxit Reader… immensamente più leggero e meno invasino di Acrobat Reader e che non ha di questi problemi…
giu 26, 2009 at 10:43:29
Si però come scrivete di certo non aiuta a combattere l’ignoranza dell’utente medio.
Il PDF è il formato di un file. La vulnerabilità descritta è tipica del formato del file o di una applicazione che lo usa??
Perchè nel secondo caso:
a) il titolo è a dir poco fuorviante
b) l’articolo non è per niente chiaro in merito
c) non si accenna alla possiblità di gestire il formato PDF in modo sicuro, con reader alternativi, gratuiti e decisamente migliori rispetto a quello di ADOBE.
http://www.docu-track.com/home/prod_user/PDF-XChange_Tools/pdfx_viewer/
giu 30, 2009 at 09:10:11
Cito l’articolo:
“Adobe Reader installa esattamente un Column Handler per aggiungere la colonna Titolo.
Quando un file PDF viene messo in una cartella l’interazione dell’utente non serve; è Explorer, tramite l’estensione installata da Adobe Reader, che si prende cura di accedere al file PDF per estrapolare alcuni dati (in questo caso il titolo) da presentare poi nella colonna Titolo.”
da questo pezzo mi pare di capire che l’errore è su Acrobat Reader e sulle sue librerie… quindi, di conseguenza, utilizzando un lettore alternativo non ci dovrebbero essere problemi (ipoteticamente parlando)…
Piero se fosse come dici tu la preoccupazione per questo bug ci dovrebbe essere anche sui S.O. Linux-based… mentre in tutti gli articoli che ho letto la preoccupazione è soltanto per i sistemi Windows…
cmq credo che abbiano messo questo titolo perché il 99% delle persone che hanno windows utilizzano Acrobat Reader…
giu 30, 2009 at 22:28:07
Questo post è un invito alla lettura di un articolo di Didier Steverns apparso su Insecure Magazine 21, articolo il cui titolo (come specificato nel post) è “Malicous PDF: Get owned without opening”. Il titolo per sua natura è sintetico, ma non credo sia fuorviante.