Le tecniche di attacco ai file PDF

Continuano a crescere gli attacchi al noto formato di Adobe. I perché di questa crescita e l’analisi di uno dei più diffusi: l’iniezione di codice JavaScript dannoso.

Il formato PDF è molto utilizzato al giorno d'oggi perché
i documenti possono essere visualizzati su qualunque piattaforma e sono disponibili
diversi programmi di lettura e modifica. Con il tempo, il formato PDF è
divenuto sempre più evoluto e complesso: una situazione che ha contribuito
a facilitare lo sfruttamento di alcune falle di sicurezza.

PDF malware, i perché di una crescita
Un’analisi del numero delle vulnerabilità scoperte negli ultimi
anni evidenzia una crescita considerevole. Nel 2009 l’organizzazione MITRE
ha segnalato 74 CVE (Common Vulnerabilities and Exposure, vulnerabilità di sicurezza) nel suo elenco dedicato
alle falle di sicurezza nei file PDF. Ben due volte in più rispetto al
2008.

I documenti PDF possono essere visualizzati su qualsiasi tipo di computer
e, in aggiunta, sono disponibili diversi programmi di lettura e tool di modifica
gratuiti. Con l’evoluzione e l’ampliamento di tali caratteristiche
il formato PDFè però diventato sempre più complesso, una
situazione che ha di fatto facilitato lo sfruttamento di eventuali falle di
sicurezza.

Secondo quanto comunicatro da GData. esistono molti tool automatici come Eleonore,
Liberty System Exploit o Elfiesta che possono essere utilizzati per creare file
PDF infetti. Il tutto senza avere particolari conoscenze o essere addirittura
un cyber criminale.

L’attacco tramite file PDF
Molti attacchi che sfruttano vulnerabilità di Reader e del formato PDF
sono basati sull'iniezione di codice JavaScript dannoso, che GData illustra
in questo modo:

1. Un Javascript integrato nel PDF viene eseguito nel momento stesso in cui
viene aperto il documento. Questo Javascript è occultato in modo tale
da prevenire eventuali analisi approfondite sul file.

2. Il Javascript utilizza un metodo di tipo Heap Spray per scrivere più
volte uno shellcode nella memoria di un processo in esecuzione

3. A questo punto la vulnerabilità Javascript nel file PDF viene sfruttata
per eseguire lo shellcode

4. Lo shellcode a sua volta scarica malware addizionale, per esempio componenti
di una botnet

Come proteggersi
Ovviamente equipaggiare il proprio computer con un software antivirus completo
è il primo e importante passo da compiere.

GData poi suggerisce di disattivare la funzione Javascript dai programmi Adobe
o attivare la funzione DEP (Data Execution Prevention) disponibile in Windows
che rende possibile bloccare l’esecuzione di codici maligni nella memoria
del computer. Molti software, però, sono ancora incompatibili con questo
tipo di protezione.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here