La faille « par défaut » (ou de conception) du format PDF mise à jour par Didier Stevens la semaine dernière continue à faire couler beaucoup d’encre. L’exploit fonctionne aussi bien sur Acrobat Reader que sur Foxit et permet de lancer n’importe quel exécutable.
Adobe de son côté envisage d’éliminer rapidement cette « feature » qui a rapidement tourné au « bug ». En attendant, conseil est donné à tous les administrateurs et responsables sécurité de déployer rapidement un « .reg » dans HKCU, selon la recette indiquée sur son site. A l’heure où nous rédigeons ces lignes, nulle réaction du côté de Foxit, entreprise qui n’a jamais brillé par son sens de la communication en matière de sécurité.
Un malheur n’arrivant jamais seul, l’on peut se plonger avec intérêt dans le courrier des lecteurs du Sans, intitulé ce jour « Camouflage de JavaScript dans un PDF : passé les bornes, y’a plus de limite ». Comme l’explique le rédacteur du « journal intime » du Sans, cette méthode est assez efficace pour que l’attaque en question ne soit détectée que par 6 des AV sur les 39 que compte VirusTotal.
Pour achever ce petit voyage au pays des vecteurs d’attaque « Adobe All right reserved » (une valeur presque aussi sûre que les exploits Internet Explorer), l’on peut lire l’article de l’équipe sécurité de Sourcefire intitulé « principes de base de l’analyse des fichiers PDF », article qui, fait abondamment référence aux travaux de Didier Stevens.
2 commentaires