Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut Plus besoin de vulnérabilité pour exploiter les PDF malicieux, un chercheur publie un "Proof of Concept"
    Mise à jour du 08/04/10

    Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
    Mise à jour la semaine dernière dans un "proof of concept"


    Suite au "proof of concept" (POC) de Didier Stevens qui montrait comment réaliser une attaque en utilisant un PDF malicieux (une méthode qui, en ce qui concerne Adobe, impliquait une forte part d'"ingénierie sociale", autrement dit de manipulation de l'utilisateur par l'affichage d'un message modifiée) , Adobe a décidé d'apporter des modifications à ses applications (Acrobat et Reader).

    En attendant que celles-ci soient effectives, la société vient d'éditer deux recommandations pour contrer l'attaque décrite dans le POC, attaque qui rappelons le ne repose sur aucune vulnérabilité (lire ci-avant).

    Steve Gottwals, responsables de produits, indique qu'il suffit de décocher une case dans la section "trust manager" du menu "préférences" pour que les applications externes ne puissent plus être lancées depuis un PDF.

    La deuxième méthode consiste à modifier le registre de Windows.

    Il faut alors ajouter la valeur DWORD à la clef HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    Name: bAllowOpenFile
    Type: REG_DWORD
    Data: 0
    Une deuxième modification empêche l'utilisateur de ré-activer cette fonction :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    Name: bSecureOpenFile
    Type: REG_DWORD
    Data: 1
    Bon à savoir.

    Et à appliquer.

    Source : Le billet de Steve Gottwals

    MAJ de Gordon Fowler


    Plus besoin de vulnérabilité pour exploiter les PDF malicieux
    Un chercheur en sécurité publie un "Proof of Concept" qu'il a communiqué aux éditeurs


    Didier Stevens est un chercheur en sécurité qui vient de sérieusement ébranler le format PDF. Il a en effet publié un "Proof of Concept" (une démonstration qui, volontairement, ne va pas jusqu'au bout) - ou PoC - qui permet de lancer l'exécution d'un code via une ligne de commande dans un document PDF.

    Avec cette méthode, Didier Stevens arrive par exemple à lancer et à faire tourner une calculatrice.

    Le PoC présenté sur son blog a été réalisé avec Adobe Reader 9.3.1 sur Windows XP SP3 et Windows 7. Mais il fonctionne également - si ce n'est mieux - avec FoxIT.

    Le chercheur précise d'entrée que cette manipulation est faite "sans exploiter la moindre vulnérabilité".

    Dans Adobe Reader, un message d'alerte informe néanmoins l'utilisateur qu'un évènement anormal est en train de se produire. Mais là encore, Didier Stevens a mis au point un stratagème simple qui consiste à modifier une partie du message pour "berner" l'attention de l'utilisateur.

    Mais sur Foxit Reader, aucun message d'alerte ne vient prévenir la victime

    Comment prévenir cette attaque ?

    "Avec Adobe Reader, la seule chose à faire pour se protéger est d'être attentif. Désactiver JavaScript ne changera rien (je n'utilise pas JavaScript dans ce PoC), et patcher Adobe Reader n'est pas possible (je n'exploite aucune vulnérabilité, j'ai juste fait preuve d'imagination avec les spécifications des PDF [NDR : qui sont un standard de la International Organization for Standardization - ISO PDF 32000-1:2008)", écrit Didier Stevens sur son blog.

    Ne tombons pas non plus dans la paranoïa, la manipulation n'est pas des plus aisées. Dans ses commentaires, Didier Stevens indique en effet qu'une attaque complète nécessiterait 5 étapes successives. Sa démonstration n'expose que la première.

    Mais surtout, il a contacté FoxIT - qui devrait sortir un correctif de sécurité dès ce week-end- et il a "partagé ce PoC avec Adobe. Peut-être sortiront-ils une solution pour remédier au problème. [...] Au fait, empêcher Adobe Reader de créer de nouveaux process bloque cette attaque".

    Une attaque qui, si elle n'est pas la première sur ce format et reste volontairement inaboutie, n'en est pas moins à connaitre.


    [nomedia="http://www.youtube.com/watch?v=jTlwxfRqODs"]YouTube- PDF: Launch a command[/nomedia]



    Source : Le blog de Didier Stevens


    Lire aussi :


    Les PDF impliqués dans 80% des attaques
    Microsoft repère un PDF malicieux qui exploite la faille d'Adobe Reader, Adobe pousse à appliquer son patch sorti en urgence

    Les rubriques (news, tutos, forums) de Developpez.com

    Applications
    Sécurité

    Et vous ? :

    Cette succession de failles/attaques/PoC sur les PDF vous poussent-elles vers des solutions alternatives ? Lesquels ?

  2. #2
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 091
    Points
    2 091
    Par défaut
    C'est pas nouveau ça, c'est comme les macros dans word.

    C'est un vrai -> faux problème. Soit on donne un produit qui ne peut rien faire, et dès qu'on sort du chemin battu on doit payer, soit on sort des outils plus polyvalents, mais qui du coup sont plus vulnérables.
    C'est une problématique de politique de sécurité en fonction des environnements.

    Tout au plus du Social engineering, mais pas vraiment un exploit qui donnerait lieu à une vulnérabilité.

  3. #3
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut Mise à jour :
    Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux
    Mise à jour la semaine dernière dans un "proof of concept"

    http://www.developpez.net/forums/d90...t/#post5109724

  4. #4
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 420
    Points : 1 474
    Points
    1 474
    Par défaut
    Madame Michu va être contente

  5. #5
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Madame Michu va être contente
    Ba oui Madame Michu faut qu'elle passe la certif Microsoft, c'est comme pour conduire faut le permis Mdame Michu .

Discussions similaires

  1. API pour exploiter les informations des fichiers MANIFEST.MF ?
    Par darkmath dans le forum Eclipse Platform
    Réponses: 1
    Dernier message: 15/08/2008, 14h53
  2. [FPDF] Besoin de conseils pour générer un pdf
    Par Dam1en dans le forum Bibliothèques et frameworks
    Réponses: 3
    Dernier message: 04/12/2007, 18h26
  3. [MySQL] besoin d'aide pour comprendre les injections sql
    Par cassy dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 28/01/2007, 15h21
  4. Besoin d'aide pour recuperer les fichier d'un projet
    Par barthelv dans le forum Applications et environnements graphiques
    Réponses: 9
    Dernier message: 14/04/2006, 12h47
  5. [SGBD] Il n'y a rien pour exploiter les bdd ?
    Par Harry dans le forum Delphi .NET
    Réponses: 3
    Dernier message: 11/07/2005, 19h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo