Il PDF ti Infetta Anche se non lo Apri

Uno degli articoli più interessanti di Insecure Magazine 21 è “Malicous PDF: Get owned without opening”, scritto da Didier Steves.

Quella di utilizzare documenti multimediali per distribuire malware è una tattica consolidata. Sono stati protagonisti di questa tendenza praticamente tutti i formati più diffusi, dai formati video ai fogli di calcolo Excel, ai Powerpoint. Questa tattica viene ampiamente sfruttata anche per la creazione di botnet.

Negli ultimi mesi è stato il formato PDF ad essere al centro dell’attenzione. In diverse occasioni questo formato è stato vettore di infezioni zero-day.

In genere per innescare l’attività di un virus è necessaria l’interazione dell’utente. Una volta ricevuta l’email maligna, l’utente la consulta, apre l’allegato e parte l’infezione.Didier Stevens ha scoperto che in alcuni casi, anzi in un caso particolare, l’infezione parte senza l’interazione dell’utente. Come? Explorer lavora per gli hacker…

Explorer (ovvero Esplora Risorse, non Internet Explorer) è il programma di Windows che permette di navigare nel file system. Una delle caratteristiche più comode di Explorer è il menù che appare col tasto destro. Questo menù può essere modificato da applicazioni di terze parti, per aggiungere funzionalità. Per esempio, un programma di compressione può aggiungere la voce “comprimi il file…” senza costringere l’utente a peripezie tra icone e menù di avvio per lanciare l’applicazione. Questo è solo un esempio.

Questa caratteristica è resa disponibile da Windows Explorer Shell Extensions. Questo componente di Windows che permette di estendere le funzionalità di Explorer, permette anche di personalizzaere le colonne di infornazione di Explorer stesso, per esempio aggiungendo alle colonne Nome, Dimensione e Tipo altre colonne. Questo avviene tramite il Column Handler Shell Extension. Adobe Reader installa esattamente un Column Handler per aggiungere la colonna Titolo.

Quando un file PDF viene messo in una cartella l’interazione dell’utente non serve; è Explorer, tramite l’estensione installata da Adobe Reader, che si prende cura di accedere al file PDF per estrapolare alcuni dati (in questo caso il titolo) da presentare poi nella colonna Titolo. Ma se il bug si annida proprio negli elementi necessari per questa operazione, la consultazione automatica del PDF innescherà il bug e di seguito l’esecuzione di codice introdotta dall’hacker come payload nel file PDF corrotto, con conseguente infezione o “affiliazione” del sistema ad una botnet.

Penserete voi: una piccola interazione da parte dell’utente c’è. E’ comunque necessario visualizzare il contenuto della cartella. E’ vero, ma è una magra consolazione. Inoltre c’è dell’altro. Se il servizio di indicizzazione diWindows è attivo, l’indicizzazione automatica del PDF innescherà ancora una volta la vulnerabilità. Non solo: il servizio di indicizzazione gira con privilegi system. Di conseguenza l’exploit verrebbe eseguito con i privilegi più alti.

Insomma, è possibile creare PDF corrotti contenenti malware, la cui capacità di infettare il sistema è garantita dal fatto che l’interazione dell’utente non è necessaria.
Le vie dell’infezione virale sono infinite.

8 Comments
  1. Un modo per evitare questi tipi di infezione sarebbe quello di guardare le e-mail direttamente da web, e, ovviamente, cancellare tutti i messaggi dagli sconosciuti…però il mio thunderbird è così comodo… 😉

  2. Oppure la cosa ancora più sicura è di utilizzare un lettore PDF diverso da Acrobat Reader…
    io utilizzo Foxit Reader… immensamente più leggero e meno invasino di Acrobat Reader e che non ha di questi problemi…

  3. Si però come scrivete di certo non aiuta a combattere l’ignoranza dell’utente medio.
    Il PDF è il formato di un file. La vulnerabilità descritta è tipica del formato del file o di una applicazione che lo usa??
    Perchè nel secondo caso:
    a) il titolo è a dir poco fuorviante
    b) l’articolo non è per niente chiaro in merito
    c) non si accenna alla possiblità di gestire il formato PDF in modo sicuro, con reader alternativi, gratuiti e decisamente migliori rispetto a quello di ADOBE.

    http://www.docu-track.com/home/prod_user/PDF-XChange_Tools/pdfx_viewer/

  4. Pingback: PillolHacking.Net: I Migliori Articoli di Giugno 2009 | PillolHacking.Net

  5. Cito l’articolo:
    “Adobe Reader installa esattamente un Column Handler per aggiungere la colonna Titolo.

    Quando un file PDF viene messo in una cartella l’interazione dell’utente non serve; è Explorer, tramite l’estensione installata da Adobe Reader, che si prende cura di accedere al file PDF per estrapolare alcuni dati (in questo caso il titolo) da presentare poi nella colonna Titolo.”
    da questo pezzo mi pare di capire che l’errore è su Acrobat Reader e sulle sue librerie… quindi, di conseguenza, utilizzando un lettore alternativo non ci dovrebbero essere problemi (ipoteticamente parlando)…
    Piero se fosse come dici tu la preoccupazione per questo bug ci dovrebbe essere anche sui S.O. Linux-based… mentre in tutti gli articoli che ho letto la preoccupazione è soltanto per i sistemi Windows…

    cmq credo che abbiano messo questo titolo perché il 99% delle persone che hanno windows utilizzano Acrobat Reader…

  6. Questo post è un invito alla lettura di un articolo di Didier Steverns apparso su Insecure Magazine 21, articolo il cui titolo (come specificato nel post) è “Malicous PDF: Get owned without opening”. Il titolo per sua natura è sintetico, ma non credo sia fuorviante.

  7. Pingback: Insecure Magazine 23 è Online | PillolHacking.Net

Comments are closed.