[leonard]

Citat:

Ursprungligen postat av daniel.s

Hur fungerar det med PDF-sårbarheter? Tar sidan över PDF-filer eller är det filen i sig som kan vara en intrångspunkt?

PDF-filer brukar tillåta javascriptfunktioner att inkluderas i viss utsträckning, som skickliga personer kan utnyttja för att injecta shellcode hos offret. Shellcoden kan innehålla instruktioner att starta vissa processer, bypassa behörigheter m.m för att förenkla nedladdning av trojaner. Det finns även fall då man gömt hela rootkits/trojaner/maskar direkt i PDF-filerna, detta är dock mer ovanligt då det kräver lite mer finess.

Sidan tar inte över filen på något sätt, oftast är hosten ovetandes om att en pdf-fil existerar öht på servern. Tricket är att få användaren att öppna den - därmed är det vanligast med att skicka ut PDF-filer via e-post som en bifogad fil. Men det är också inte helt ovanligt att angripare med direkt access till offrets server bara byter ut en befintlig PDF-fil som i ägarens ögon är helt legit mot en infekterad variant (fortfarande samma innehåll). Slugt som fan och svårt att upptäcka om det är en 0-day exploit som används..

Kan ju tillägga att det egentligen inte är PDF formatet i fråga som är sårbart utan snarare programvarorna som man öppnar det i som är risken (Adobe reader exempelvis).

Känner detta är jävligt off-topic nu kanske, men på en statlig myndighet som jag jobbade åt under en period så öppnade vi ej betrodda PDFer i sandbox miljöer (virtuella) för att undvika just sådant här.