Estos días está dando la vuelta al mundo
el trabajo que ha realizado Didier Stevens para conseguir ejecutar binarios desde un documento PDF. La técnica, si se está utilizando
Adobe Acrobat Reader, muestra un mensaje que puede ser, como él mismo dice, parcialmente modificado. En
FoxIt, por el contrario, no se muestra ningún mensaje y se consigue ejecutar comandos sin ninguna alerta.
Esta técnica es simple, sencilla, y por lo tanto, muy peligrosa más, si tenemos en cuenta que
el formato PDF fue el favorito de los exploiters el año pasado, alcanzando cotas de explotación altísimas.
Viendo esto, me he acordado que en muchos artículos de Internet, cuando hablan de cómo explotar las vulnerabilidades en PDF dicen cosas como
“localiza la versión de Acrobat que están usando, con FOCA, por ejemplo” y luego construye el exploit. La pobre
FOCA metida en esos berenjenales…
Algo similar a eso fue la demo que preparamos para el Security Day, en la que aprovechábamos una vulnerabilidad de Acrobat Reader (incluida la versión 9) para conseguir una Shell remota en el equipo vulnerable. La vulnerabilidad explotada está tipificada como
CVE-2009-0927 y su funcionamiento permite ejecutar cualquier comando. Si el software es vulnerable se obtendrá un mensaje como el que se ve en la siguiente imagen:
Figura 1: Ejecución de exploit en máquina vulnerable
Y el exploit que usamos redirige la Shell a una IP y un puerto en la que hemos puesto el netcat a escuchar.
Figura 2: Shell recibida
Por supuesto, en la máquina explotada queda corriendo el proceso de Acrobat Reader atendiendo los comandos de la Shell.
Figura 3: Proceso de Acrobat corriendo explotado
Viendo la peligrosidad de los exploits PDFs decidí subirlo a VirusTotal, a ver cómo se comportan los motores antivirus con estos exploits en documentos pdf. Es especialmente importante tener en cuenta su comportamiento si estamos hablando del motor que se usa en el gestor de correo electrónico o en el repositorio documental, ya que es en esos territorios donde más documentos pdf se mueven. El resultado, con este exploit en concreto no fue mal, pero si sorprendente que aun hubiera un buen número de motores que no lo detectaran, pero el porcentaje no llega al 50% y, algunos de ellos, tan llamativos como Kaspersky, McAffe o Fortinet.
Como curiosidad se me ocurrió utilizar un empaquetador de archivos para generar ejecutables, similar a nuestro querido
Redbinder de Thor, pero con menos funcionalidades que se llama
Jiji y había
visto en Cyberhades, para ver que hacían los motores antimalware cuando metemos el exploit pdf dentro de un empaquetado con extensión exe.
Figura 5: Metemos sólo 1 fichero pdf
Figura 6: Que se ejecuta al extraer
Este nuevo ejecutable, cuando se ejecuta, se lanza el documento con el exploit pdf. Las alternativas que se me pasaban por la mente, eran: A) lo desempaquetan y lo descubren los de antes y B) Directamente pasan de detectar que hay dentro y firman el packer.Sin embargo, el resultado fue sorprendente.
Sólo 2 de 42 lo detectaron, 1 como sospechoso y únicamente VirusBuster conocía el formato, y se tomó la molestia, de desempaquetar el contenido para escanearlo.
Tras ver esto, me parece muy acertado que Microsoft y Adobe se estén planteando actualizar software a través de Windows Update y que Microsoft haya abierto su plataforma de Windows Update Services para integrar en el agente de Windows Update otras soluciones como
CSI de Secunia, que funciona con System Center Configuration Manager y WSUS. Ahora son los PDF, pero no nos olvidemos del resto de utilería variada que se queda en las plataformas clientes sin actualizar y dejar todo el trabajo en las soluciones antimalware parece un suicidio.
Saludos Malignos!
Fuente:
Un Informático en el lado del Mal