19:43
9/9/2010

Nowy exploit na Adobe Acrobat/Reader

Można ironicznie rzec, tydzień bez dziury w Adobre Readerze, to tydzień stracony. W sieci grasuje kolejny exploit 0day wykorzystujący format PDF.

Dziura w Adobe Acrobat/Reader

Błąd leży w bibliotece CoolType.dll odpowiedzialnej przetwarzanie fontów. Secunia określa go jako Extremely Critical — wystarczy otworzyć PDF-a, aby wraz z czytnikiem uruchomił się podstawiony przez atakującego plik. Exploit obchodzi zabezpieczenia DEP i ASLR, a atak na tę dziurę jest już aktywnie wykorzystywany w internecie. Zapewne na dniach, jak tylko exploit zostanie dodany do metasploita, w sieci pojawi się więcej “złośliwych PDF-ów”.

Kiedy jeden *facepalm* to za mało...

Na atak podatne są wszystkie wersje Adobe Readera (włącznie z 9.3.4), nie tylko na Windows, ale także na Mac OS X i Linuksa. Adobe jeszcze nie wypuściło łaty …ale ponoć poprawka ukaże się do końca roku :>

Ochrona?

Nasza rada: zmieńcie czytnik PDF, odinstalujcie Acrobat Readera. Serio. To co się ostatnio dzieje wokół Adobe można określić tylko jednym słowem: masakra.

Przeczytaj także:


50 komentarzy

Dodaj komentarz
  1. niedlugo (pod koniec roku) maja wprowadzic sandboxa. jako alternatywny czytnik pdf, polecam SumatraPDF — maly programik, w dodatku pisany przez polaka :)

  2. Ciekawe jak z bezpieczeństwem bardziej niszowych czytników pdf ;]

  3. Ciekawy jestem ile czasu zajmie im wydanie poprawki na to ;/
    Na szczęście na windowsie używałem i używam foxit readera.

  4. Nitro polecam :)

  5. Ja również od jakiegoś już czasu używam foxit readera.

  6. Może już czas porzucić pdf na rzecz djvu albo czegoś podobnego?

  7. Porada jak najbardziej trafna. Jak można jeszcze używać A.Readera . Na nowym kopie startuje ta kobyla wieki a samo działanie pozostawia wiele do życzenia. Foxi rox W_(0^O)

  8. Ja już od dawno używam Foxit Readera i wszystkim polecam. Nie dość, że szybszy to tańszy i mniej dziur i w ogóle wstyd jak ktoś ma jeszcze Acrobata w systemie! :P

  9. ja adoba instaluje tylko raz do roku na chwile i zaraz usuwam, a potrzeba go tylko do potwierdzenia złożenia pit przez net (jakby nie mogli tego po ludzku rozwiązać…). A przez reszte roku Foxit rządzi!

  10. Hehe.. Jak zawsze błędy Adobe.. tyle dziur już było ;d
    Lepiej zmienię tego dziurawego czytnika.

  11. Niestety, niektóre aplikacje wymuszają Adobe Readera, co uważam za skandal. Trzy lata obywałem się bez tego rupiecia, zmusiło mnie PITolenie przez internet.

  12. Przypominają mi się stare dobre czasy, kiedy to serwer wu-ftpd stanowił niesławny przykład jak nie tworzyć oprogramowania. Zapewne niejeden czytelnik przećwiczył na tym serwerze którąś z technik ataku, a wybór był spory ;)

  13. A ja bardzo długo używałem Foxit Readera – ostatnio zmieniłem na PDF X-change viewer i w ogóle inna liga. Poziom ustawień tej aplikacji jest olbrzymi, można ustawić wszystko, w foxicie nic ;) Zresztą działa ZNACZNIE szybciej przy przewijaniu pdf (sprawdzałem na bieżącą przewijając raz w jednym raz w drugim programie) , same ustawienia standardowe są znacznie lepsze – odrazu jest ustawiony żeby pamiętał miejsce w którym się było w danym pliku pdf (po jego zamknięciu odrazu jest się w tym miejscu) – w foxit reader trzeba było to ustawić w opcjach (jakoś kompletnie mi to umknęło, i nie miałem tego) ;)

    No ale wracając, dokładnie do PITA trzeba użyć adobe readera, zresztą duże przeświadczenie panuje że skoro Adobe radzi sobie z otwieraniem plików pdf, to po co go aktualizować, czy nawet zmieniać na coś innego, więc zapewne luka będzie bardzo często wykorzystywana :(

  14. @zzz1986@o2.pl:
    XPS?

  15. To gdzie ja mam to CoolType.dll na Ubuntu i jak się na Ubuntu przeprowadza atak (może być na OpenSUSE lub Fedorę)?

  16. Rozwiązanie jest proste, wystarczy zmienić na np. Evince lub Xpdf.

  17. Ale te inne polecane przez Was są uznawane za bezpieczniejsze tylko dlatego, że są mniej używane i tym samym mniej pen-testowane? Czy może są inne przesłanki (liczby, liczby!), by polecać taki a nie inny program?

  18. guzik: ale jeśli program jest “niszowy”, to jednocześnie jest bezpieczniejszy – komu będzie zależało na szukaniu dziury w czymś, czego używa 0,05% potencjalnych ofiar, skoro można znaleźć dużo łatwiej dziurę w czymś, co jest używane przez 98%.

  19. Czemu wszyscy tak nienawidzą Adobe, błędy się zdarzają, dokonajcie tyle co Adobe, tak wiele genialnych produktów, w tym Flash (też nie wiem dlaczego taka ilość osób Go nie lubi!?).

  20. Macie może jakieś opinie o nitro??

  21. z chęcią bym przesiadł się na foxita gdyby nie to, że dławi się przy dużych (kilkudziesięciu megowych) plikach i przewija je w tempie 1 strony co kilka sekund; adobe radzi sobie duzo szybciej na tych samych plikach (z moich doświadczeń)

  22. @nivlheim:
    No ale wiesz, jak działa reklama na Niebezpieczniku. od wczoraj mało kto używa Adobre Reader, bo foxit jest ponoć bezpieczniejszy.

    • guzik: Wypraszam sobie imputowanie faworyzowania przez Niebezpiecznika jakiegokolwiek czytnika. W tekście nie było żadne reklamy — jedynie antyreklama Readera. A alternatyw jest dużo, np. Google Docs.

  23. Dziwna prawidłowość. Im droższe produkty, tym więcej w nich dziur. Wygląda to na zamierzone działanie producentów, którzy co jakiś czas sprzedają za dużą kasę nowe wersje swoich produktów. Przecież kasa musi płynąć szerokim korytem – prawda? Ja używam Document Viewer 2.26.1 – bezpłatnego i niezawodnego.

  24. WebNuLL: taaa, spróbuj Evincem bądź Xpdfem wypełnić formularz z polskiego Ministerstwa Finansów… zresztą Foxit też wymięka

    • @sodar i inni wymieniający główną wadę alternatywnych czytników jako “nie mogę złożyć PIT-a”:

      Przecież formularzy do wypełniania pitów Ministerstwo Finansów nie wysyła wam w (phishingowych) e-mailach — one są dostępne w jednym oficjalnym miejscu — można założyć, że bezpiecznym :> Nie widzę więc problemu w używaniu Adobe Readera tylko do tego typu zadań (otwieranie pdfów z zaufanego źródła). A to czy MinFin jest zaufanym źródłem, to już osobna kwestia ;)

  25. @Stanislaw: zgadzam sie. dlawi sie, szczegolnie jak taki plik otworzymy bezpośrednio z okna przeglądarki. Jest to dość denerwujące, jednak nie przekonuje mnie to (a po powyższym newsie tym bardzie nie przekona) żeby wrócić do Adobe dziuReadera.

  26. @Piotr Konieczny:
    Prócz artykułu czytam też komentarze. To o nie mi chodziło pisząc ‘reklama na Niebezpieczniku’ (nie ‘reklamowane przez Niebezpiecznika’).
    Załóżmy, że dziś 90% użytkowników przesiądzie się na np. Google Docs, myślicie, że jutro będzie się komuś chciało szukać błędów w Adobre Reader?
    To, że o błędach w niszowym programie nie słychać, nie znaczy, że ich tam nie ma, więc nie polecajcie w konteksie bezpieczeństwa guzikPDFreader’a czy innego programu, którego używaja 2 osoby.
    EOT

  27. a dlaczego nie? używanie niszowego programu, z błędami, ale nie wykorzystywanymi masowo jest bezpieczniejsze od aktualizowanego “na bieżąco” adobe readera. ;]

  28. @guzik
    Bezpieczenstwo i jego poczucie/brak to rzecz wzgledna.
    Ile razy w tym roku krazyl 0-day na Adobe Reader’a?
    Ile razy na alternatywy?
    Ile razy trzeba bylo cudowac z Adobe Readerem zanim pojawil sie update? A ile razy z alternatywami?

    Uzywam Linuksa i mam spokoj z wirusami. Czy nie ma wirusow na Linuksa? Sa ale ich ilosc to kiladziesiat-kilkaset, w tym zero na wild liscie. Na windowsa tez kilkadziesiat-kilkaset ale tysiecy w tym setki na wild liscie.

    Czy linuks nie ma dziur? Ma, ale mnie to nie dotyczy jako statystycznego “Kowalskiego/Nowaka”.
    Dlaczego?
    Poniewaz bedzie wiekszy ROI z ataku na cos popularnego niz z ataku na mojego linuksa.
    Od nastu last slysze, ze sa wirusy na linuksa, ale aby je zobaczyc musialem sobie sam je sciagnac ze strony z wirusami. Pod windowsem wystarczy sie wybrac z dobrym skanerem antywirusowym po najblizszych komputerach, wygrzebac z poczty, przegladnac pendrive’y, itd. Co wybierze typowy “przestepca”?

    Ale obaj jestesmy tak samo narazeni na ataki skierowane konkretnie na nas :(.

    Kazda monokultura jest zla, bez wzgledu na to jaka.

    Inna bajka to czas jaki potrzebuje Adobe na wydanie patcha – IMHO oznacza to ze maja burdel w kodzie.

    Tak samo jak inna bajka to czy nasz czytnik pdf potrzebuje koniecznie javascriptu?
    W tym przypadku akurat bez znaczenia, ale taka funkcjonalnosc (i wiele innych) powinna byc wlaczana opcjonalnie przez uzytkownika i koniecznie ponownie po kazdym uruchomieniu czytnika.

    Od wielu lat zyje bez zbednych dodatkow/bajerow jak Javascript i zyje :). Wlaczam je tylko i wylacznie jak potrzebuje.
    Efekt? Jestem znacznie bezpieczniejszy. :)

    BTW. zauwazyliscie, ze wczoraj znikla z serwerow wersja 7 .(mam tu na mysli bezposrednie odwolanie do miejsca gdzie lezala.)

  29. NoName napisał: “Czemu wszyscy tak nienawidzą Adobe, błędy się zdarzają, dokonajcie tyle co Adobe, tak wiele genialnych produktów, w tym Flash (też nie wiem dlaczego taka ilość osób Go nie lubi!?).”

    Czuję się obowiązku sprostować ten stek bzdur. Technologię Flash stworzyła firma Macromedia. Adobe jedynie wyłożył trochę zielonych na przejęcie całej firmy, razem z technologiami, patentami oraz kodem źródłowym aplikacji. Kilka lat temu Flash może i był użyteczny. Teraz, w dobie HTML 5, CSS3, AJAX, SVG i PNG, jest rakiem toczącym współczesny Internet. Zamiast animowane banery robić w PNG używają Flash. Zamiast treści audio/wideo serwować jako strumienie osadzone w kodzie HTML/XHTML używają Flash. Zamiast menu robić w HTML/XHTML+CSS3 i ewentualnie AJAX używają Flash. A potem się nasi Klienci dziwią, że do komfortowego przeglądania stron potrzebują wielordzeniowych procesorów oraz kilku gigabajtów pamięci operacyjnej… :-)

  30. Poprawka – wersje 7.0.7-9 nie znikły – nie zwróciłem uwagi, że w nocy miałem przerwę w dostawie netu i wyskoczyło, mi błąd jak chciałem dociągnąć.

  31. Także korzystam z alternatywy – Foxit, mimo iż jak już wcześniej Niebezpiecznik informował ( https://niebezpiecznik.pl/post/ciekawa-dziura-w-pdf-przyklad-ataku/ ) nie jest on “całkowicie bezpieczny”, dlatego też Foxit startuje spod Sandboxie.

  32. @ NoName:
    “Czemu wszyscy tak nienawidzą Adobe, błędy się zdarzają, dokonajcie tyle co Adobe, tak wiele genialnych produktów, w tym Flash (też nie wiem dlaczego taka ilość osób Go nie lubi!?).”
    Może dlatego, że Flash jak i większość produktów nie jest dziełem Adobe, więc Adobe niczego nie dokonało, jedynie przejęło te wszystkie firmy i od tamtej pory wypuszcza soft pod własnym logo. Pewnie od niedawna masz komputer i nie pamiętasz takiej firmy jak Macromedia. Kiedyś programy Macromedia Flash, Macromedia Dreamweaver i inne, dzisiaj Adobe Flash, Adobe Dreamweaver…

  33. No to ja mam propozycję dla Redakcji Niebezpiecznika: może jakiś art proponujący alternatywy dla najbardziej dziurawych aplikacji na rynku, tudzież opisujący metody jak ‘ubezpieczyć’ taki aplikacje (sandbox chociażby) ? Takie ‘How-To dla Opornych’ ;]

  34. @Kas
    1. Nigdzie nie napisałem, że jest to początkowy produkt Adobe!
    2. Mimo wszystko nadzór jest w rękach Adobe.
    Czuję się obowiązku sprostować ten stek bzdur.
    “Technologię Flash stworzyła firma Macromedia.” – po zakupieniu, rozwijała FutureSplash (potem zmienili nazwę), nie stworzyła!
    Zgodzę się, często Flash jest kompletnie źle stosowany, większość banerów, str itp.
    A to właśnie przez ich twórców, z których większość wszystko pie*rzy (stosowanie AS2-to mnie rozwala! Brak optymalizacji! Wrzucanie jak do wora!), w prostej sprawie. Np. Lotto.pl pozwala na swojej stronie dać baner, który crashuje kilku rdzeniowego kompa!?(kto dla Nich pracuje?)

    ALE w niektórych sprawach jest po prostu nie zastąpiony, zaawansowane strony, zaawansowane banery, co do:”Zamiast treści audio/wideo serwować jako strumienie osadzone w kodzie HTML/XHTML używają Flash” Polecam przeczytać–> http://apiblog.youtube.com/2010/06/flash-and-html5-tag.html, P2P – takie możliwość, w AIR i miliardy innych powodów.

    IMO większość ludzi Go źle kojarzą właśnie ze względu na przerażające, ogromne banery, a to właśnie przez nieumiejętności developerów, którzy wszędzie Go wciskają bo łatwo szybko, bo Flash…!

  35. @stary wyjadacz chleba :)
    JAKA Macromedia!? Ty chyba też masz od niedawna skoro uważasz Macromedie za początek Flasha. Ja nigdzie nie napisałem, że Adobe jest twórcą tych wszystkich produktów! Ale oni tym zarządzają, kompatybilność tych programów z Nieba się nie zabrała!?

  36. […] sobie, PDF nie jest groźnym formatem (ewidentnie nie przeczytałeś naszego wczorajszego tekstu o exploicie na PDF!) otworzysz go, a robal W32.Imsolk.A@mm roześle się do wszystkich Twoich kontaktów z książki […]

  37. Hmm, problem z Foxitem jest taki że ma w instalatorze śmiecia pod tytułem Ask Toolbar.

  38. Już drugi raz na niebezpieczniku czytam, że coś obchodzi ASLR. A może ktoś oblatany opisze jakieś szczegóły? W jaki sposób się tego dokonuje?

    MS tak się cieszyło swego czasu, jakie to sprytne i fajne wymyślili zabezpieczenie…

  39. EDIT: Hmm, musiałem to kiedyś przeoczyć, bo chwila z google i już znalazłem opisy technik obchodzenia ASLR, całkiem sprytne zresztą.

  40. @Grzechooo: I pewnie na 99% można go odfajkować przy instalacji. Jakiś problem? Zależy. Było o tym zresztą już na temat tych dodatków na Niebezpieczniku (przypadek Flash Player + antywirus w komplecie).

  41. Tutaj jest taki podobny plik

    hxxp://bdb.am/images/1.pdf?

    To jest wirus

    .

  42. No i to Adobe się tak nagle pojawiło na rynku w latach ’90 i od razu zaczęło rządzić największymi aplikacjami. Zwiedzając ich produkty ma się ciekawe uczucie czegoś innego, nowego. Format pdf dobiera się do Świata pisma analogowego. Jest już symbolem wirtualnej książki. Tutaj HTML oddał mu pole. W ogóle profesjonaliści są skazani na ich programy. I nic dziwnego, że poprzez Adobe Czytacza próbuje się wchodzić im do życia i pracy. Ciekawe jaka jest struktura właścicielska korporacji Adobe ?

  43. […]
    Exploit obchodzi zabezpieczenia DEP i ASLR
    […]

    Można wtedy spróbować tego:

    http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx

  44. Można zmienić program na inny albo póki co zastosować się do porady z tej stronki http://blogs.technet.com/b/srd/

  45. […] wykorzystanie EMET-a jako środka zabezpieczającego komputer przed niedawno opisywanymi przez nas 0day’owymi exploitami PDF na Acrobat Readera… […]

  46. […] dni temu opisywaliśmy nową dziurę w PDF. Najnowsza wersja czytnika udostępniana na oficjalnej stronie Adobe dalej jest podatna na atak. […]

  47. […] do tego celu lukę w aplikacji Adobe Acrobat Reader. Luka została opisana na stronie https://niebezpiecznik.pl/post/nowy-exploit-na-adobe-acrobatreader/ […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: