Resultados 1 al 2 de 2

El peligroso mundo del PDF

  1. #1 El peligroso mundo del PDF 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Estos días está dando la vuelta al mundo el trabajo que ha realizado Didier Stevens para conseguir ejecutar binarios desde un documento PDF. La técnica, si se está utilizando Adobe Acrobat Reader, muestra un mensaje que puede ser, como él mismo dice, parcialmente modificado. En FoxIt, por el contrario, no se muestra ningún mensaje y se consigue ejecutar comandos sin ninguna alerta.

    Esta técnica es simple, sencilla, y por lo tanto, muy peligrosa más, si tenemos en cuenta que el formato PDF fue el favorito de los exploiters el año pasado, alcanzando cotas de explotación altísimas.

    Viendo esto, me he acordado que en muchos artículos de Internet, cuando hablan de cómo explotar las vulnerabilidades en PDF dicen cosas como “localiza la versión de Acrobat que están usando, con FOCA, por ejemplo” y luego construye el exploit. La pobre FOCA metida en esos berenjenales…

    Algo similar a eso fue la demo que preparamos para el Security Day, en la que aprovechábamos una vulnerabilidad de Acrobat Reader (incluida la versión 9) para conseguir una Shell remota en el equipo vulnerable. La vulnerabilidad explotada está tipificada como CVE-2009-0927 y su funcionamiento permite ejecutar cualquier comando. Si el software es vulnerable se obtendrá un mensaje como el que se ve en la siguiente imagen:

    Figura 1: Ejecución de exploit en máquina vulnerable

    Y el exploit que usamos redirige la Shell a una IP y un puerto en la que hemos puesto el netcat a escuchar.


    Figura 2: Shell recibida

    Por supuesto, en la máquina explotada queda corriendo el proceso de Acrobat Reader atendiendo los comandos de la Shell.

    Figura 3: Proceso de Acrobat corriendo explotado

    Viendo la peligrosidad de los exploits PDFs decidí subirlo a VirusTotal, a ver cómo se comportan los motores antivirus con estos exploits en documentos pdf. Es especialmente importante tener en cuenta su comportamiento si estamos hablando del motor que se usa en el gestor de correo electrónico o en el repositorio documental, ya que es en esos territorios donde más documentos pdf se mueven. El resultado, con este exploit en concreto no fue mal, pero si sorprendente que aun hubiera un buen número de motores que no lo detectaran, pero el porcentaje no llega al 50% y, algunos de ellos, tan llamativos como Kaspersky, McAffe o Fortinet.

    Como curiosidad se me ocurrió utilizar un empaquetador de archivos para generar ejecutables, similar a nuestro querido Redbinder de Thor, pero con menos funcionalidades que se llama Jiji y había visto en Cyberhades, para ver que hacían los motores antimalware cuando metemos el exploit pdf dentro de un empaquetado con extensión exe.

    Figura 5: Metemos sólo 1 fichero pdf



    Figura 6: Que se ejecuta al extraer

    Este nuevo ejecutable, cuando se ejecuta, se lanza el documento con el exploit pdf. Las alternativas que se me pasaban por la mente, eran: A) lo desempaquetan y lo descubren los de antes y B) Directamente pasan de detectar que hay dentro y firman el packer.Sin embargo, el resultado fue sorprendente.


    Sólo 2 de 42 lo detectaron, 1 como sospechoso y únicamente VirusBuster conocía el formato, y se tomó la molestia, de desempaquetar el contenido para escanearlo.

    Tras ver esto, me parece muy acertado que Microsoft y Adobe se estén planteando actualizar software a través de Windows Update y que Microsoft haya abierto su plataforma de Windows Update Services para integrar en el agente de Windows Update otras soluciones como CSI de Secunia, que funciona con System Center Configuration Manager y WSUS. Ahora son los PDF, pero no nos olvidemos del resto de utilería variada que se queda en las plataformas clientes sin actualizar y dejar todo el trabajo en las soluciones antimalware parece un suicidio.

    Saludos Malignos!

    Fuente: Un Informático en el lado del Mal

    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Jun 2008
    Mensajes
    7
    Descargas
    0
    Uploads
    0
    Bastante interesante este exploit.
    Citar  
     

Temas similares

  1. Conficker sigue siendo el gusano más peligroso de la Red
    Por clarinetista en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 24-08-2009, 14:49
  2. Virus peligroso este fin de año...!cuidado!
    Por marloc en el foro OFF-TOPIC
    Respuestas: 6
    Último mensaje: 31-12-2006, 16:58
  3. Respuestas: 2
    Último mensaje: 07-06-2003, 23:23
  4. :: Peligroso agujero de seguridad en Windows Me
    Por Sn@ke en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 28-02-2003, 00:33
  5. ¿es peligroso subir el FBS?
    Por Contr@ en el foro HARDWARE
    Respuestas: 1
    Último mensaje: 21-04-2002, 16:08

Marcadores

Marcadores