Klasyczny rodzaj ataku wykorzystującego pliki PDF składa się z następujących elementów:
- Osadzanie dowolnego pliku w dokumencie PDF (embedded)
- Osadzenie kodu JavaScript, który wypakuje osadzony wcześniej plik
- Uruchomienie osadzonego kodu JavaScript po otwarciu dokumentu PDF
Adobe Reader domyślnie nie pozwala na uruchamianie osadzonych plików wykonywalnych. Zabezpieczenie to opiera się na czarnej liście rozszerzeń np. exe i vbs. Jednakże owa czarna lista nie obejmuje wszystkich rozszerzeń plików wykonywalnych. Przez długi czas Adobe Reader pozwalał na wykonanie np. skryptów Python (.py) i dokumentów MS Office, które mogły zawierać złośliwe makra. Lista ta jest ciągle aktualizowana, lecz mimo tego możemy często zauważyć ataki oparte o ten mechanizm. W zeszłym miesiącu w systemie Windows 10 zostało przedstawione nowe rozszerzenie .SettingContent-ms i od razu stało się ono wektorem ataków z użyciem dokumentu PDF. Adobe Reader pozwala na wykonanie osadzonego w nim pliku, lecz przed tym wyświetli użytkownikowi komunikat z ostrzeżeniem i akceptacją ryzyka.
Ataki tej klasy istnieją już przynajmniej 10 lat, lecz możemy być pewni, że w przyszłości stworzone zostaną nowe rozszerzenia, które nie będą blokowane przez Adobe Readera. Najlepszą obroną jest blokowanie wszystkich osadzonych plików, chyba, że potrzebujemy otwierać dokumenty z osadzonymi plikami i robimy to świadomie.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny