“Hacker” trova il modo di sfruttare i file PDF senza una vulnerabilità

Da Milano – Didier Stevens, un ricercatore esperto di sicurezza, è riuscito a creare un proof-of-concept (PoC) di un PDF in grado di attivare un file eseguibile incorporato senza sfruttare alcuna vulnerabilità di sicurezza.
In base a questa scoperta, i PDF hack, se combinati con tecniche di ingegneria sociale, potrebbero potenzialmente consentire l’esecuzione di attacchi di codice se un utente apre semplicemente un file PDF truccato.
Didier Stevens riporta dettagliatamente la “scoperta” nel suo blog, http://blog.didierstevens.com.
Più o meno la tecnica funziona in questo modo: prima di eseguire un qualsiasi comando, Adobe Reader chiede all’utente un’autorizzazione, visualizzando un messaggio di alert che informa dei rischi correlati. Tuttavia, secondo Didier Stevens, questo avviso può essere parzialmente modificato inducendo così l’utente ad accettarlo e premere l’OK seguendo, appunto, una strategia di social engineering . Inoltre, alcuni reader alternativi ad Adobe, come Foxit Reader, non avvisano neppure l’utente del potenziale rischio. In questo modo Stevens sarebbe riuscito ad eseguire un EXE embedded senza la necessità di alcuna interazione da parte dell’utente.
I lettori di PDF, tra cui Adobe Reader e Foxit Reader, non consentono l’esecuzione di file binari o scipt, ma Stevens avrebbe in questo caso aggirato l’ostacolo con un metodo che consente di eseguire un comando in modo arbitrario e lanciare un file eseguibile precedentemente inglobato.
Da notare che Stevens non ha pubblicato sul suo sito il codice proof of concept ma solo un documento PDF che, non appena aperto, lancia il programma cmd.exe di Windows.
Con Adobe Reader, l’unica cosa che impedisce l’esecuzione è un avvertimento. Disabilitare JavaScript non ne impedisce, di fatto, l’esecuzione.
Stevens ha testato la sua ricerca su Adobe Reader 9.3.1 (Windows XP SP3 e Windows 7).