Robak PDF nie wymagający włączenia opcji JavaScript

Jeremy Conway, specjalista od spraw bezpieczeństwa zatrudniony w firmie NitroSecurity, twierdzi, iż odkrył sposób na rozprzestrzenianie kodów złośliwych w dokumentach PDF bez konieczności wykorzystywania opcji JavaScript w komputerze ofiary.

Atak wykorzystuje lukę w sposobie działania plików formatu PDF i polega na dodawaniu złośliwych danych do legalnych plików PDF, które następnie mogą być użyte do atakowanie każdego komputera, w którym otworzy się taki plik.

Conway już wcześniej zaprojektował technikę wprowadzania złośliwych komend do plików PDF. Jednak taki atak działał tylko wtedy, kiedy w systemie był inny złośliwy program, który włączał do pliku taki kod. Sytuacja ta uległa zmianie w ubiegłym tygodniu, kiedy to z kolei inny specjalista od bezpieczeństwa, Didier Stevens, zademonstrował dokument PDF, który może być zmieniony w plik wykonywalny na komputerze ofiary.

Zobacz również:

  • Adobe pokazało firmowego asystenta AI

Zademonstrowany atak pokazał jak taki czytnik (w tym wypadku Foxit Reader) może uruchomić plik wykonywalny nawet nie powiadamiając użytkownika. Luka ta została już załatana w czytniku Foxit, ale w opinii Conwaya nie może być do końca zlikwidowana bez zmiany samego standardu PDF.

Jest to przykład, kiedy rozbudowana funkcjonalność, którą wykorzystują niektórzy użytkownicy, wprowadza także potencjalne ryzyko, kiedy używana jest niewłaściwie.

Czytniki PDF (Foxit Reader, Afobe Reader) generują wyskakujące okienko z zapytaniem czy wykonywalny kod ma być uruchomiony. W prezentacji ataku Conway pokazuje jak można zbudować złośliwy dokument PDF z kodem wykonywalnym, który także umieszcza swój własny tekst w ramce ostrzeżenia Adobe - dodając tekst w rodzaju "click Open to unencrypt file" napastnik może zwiększać szansę skłonienia ofiary do otwarcia pliku.

Jeżeli użytkownik da się nabrać na ten trick i powoli na wykonanie kodu, to działa on jak robak, kopiując złośliwy ładunek do innych plików PDF na komputerze.

Taki "atak PDF" może być wykorzystany również do wprowadzenie złośliwych makro do dokumentów Word.

Użytkownicy, którzy chcą wyłączyć mechanizm umożliwiający ten atak w Adobe Reader powinni w menu Edit->Preference->Trust Manager wyłączyć opcję "PDF File Attachments".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200