Ataque PDF: Todos vulnerables

Enviado por admin el 3. Enero 2007 - 20:59.

Bienvenidos al maravilloso mundo del UXSS, el Cross Site Scripting Universal. Siéntense y disfruten, porque si muchas veces se ha dado por sentado que la mayoría de sitios web son vulnerables a ataques XSS, hoy estamos más cerca que nunca de afirmarlo.

Y es que 2007 no ha podido empezar peor en lo que a la Seguridad en Internet respecta. Si en 2006 los webmasters corríamos desesperados a parchear nuestros sitios en cuanto se descubría una nueva falla que pudiera permitir ataques XSS en nuestro particular software, en 2007 ya casi no merece la pena correr porque, de la noche a la mañana, nos hemos enterado de que todos nuestros sitios son vulnerables...

Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.

Para colmo de males, el aviso original informa de que los fallos detectados permiten la ejecución de código en Firefox, ataques DoS en Explorer y el robo de sesiones en Firefox, Opera y Explorer. Ahí es nada.

Y es que no existen soluciones milagrosas. Como webmasters podemos retirar los pdf de nuestros servidores; como usuarios algunos pueden actualizar a la versión 8 (pero no todos los usuarios lo harán, y mucho menos aún los de Linux, que ni siquiera lo tenemos disponible), deshabilitar Javascript (poco sentido tiene utilizar NoScript cuando todos los sitios son ya sospechosos), no abrir PDFs en el navegador (e instruirle para ello), utilizar extensiones (como PDF Download) que nos concedan mayor control...

Pero el daño ya está hecho. La vulnerabilidad esencial de una Red creada para compartir "de buen rollito", ha vuelto a quedar en evidencia.

Y esta vez de qué manera.

Actualizaciones:

  • 4-Enero, 18:45/ También funciona en local: Ya ni siquiera hacen faltra servidores web para explotar el ataque. Lo cuento aquí.
  • 4-Enero, 10:37/ Una explicación para "torpes": En este comentario he procurado explicar las consecuencias del fallo desde el punto de vista del usuario y del webmaster, así como algunas medidas preventivas que ayudarán a unos y otros.
  • 21:39/ Una contramedida para webmasters: Vía PHP Security encuentro unas líneas que pueden hacer que Apache obligue a descargar los pdf, en vez de que se abran con el dichoso plugin. Son éstas:

    SetEnvIf Request_URI "\.pdf$" requested_pdf=pdf
    Header add Content-Disposition "Attachment" env=requested_pdf

    Funcionan en httpd.conf o en un .htaccess. Gracias a esta medida he podido reponer en el sitio los pdf y Kriptópolis -creo- ya no es vulnerable, pero si alguien piensa lo contrario por favor que me avise para contarlo ;). Si no, ya estáis tardando en aplicarlo los que tengáis sitios web alojando pdf.

  • 21:20/ Diferencias entre Explorer 7 y Firefox en Windows: Al tratar de ejecutar javascript en un pdf, Explorer 7 se niega y da un "error de red". Firefox 1.5.0.9 se lo traga, abre el plugin y ejecuta el javascript sin rechistar. Uhm...

Más información:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

no uso el adobe

Enviado por suscripcion el 4. Enero 2007 - 1:14.

supongo que con el uso de FoxIT Reader no tendré el problema.

Plug-ins

Enviado por felipe_alfaro el 4. Enero 2007 - 1:35.

Nunca me ha gustado el plug-in de Adobe para PDFs y Flash. Ahora, una razón más para que me siga disgustando.

De la misma manera que hace

Enviado por mced el 4. Enero 2007 - 6:06.

De la misma manera que hace mucho tiempo que no abría adjuntos directamente desde el cliente de correo, tampoco dejaba que el navegador se encargara de los PDF. Era ese pequeño avisador interior que te recordaba siempre la disyuntiva 'comodidad vs. seguridad'. Y es que, ¿tanto PDF on-line consultamos para que nos sea incómodo el método guardar-revisar-abrir?

antes de investigar quiero

Enviado por chamoscript el 4. Enero 2007 - 6:24.

antes de investigar quiero hacerle sunas preguntas porke esto no me ha kedado del todo claro....

si la vulnerabilidad es del adobe reader los pdf´s vulnerables son solo los q se han hecho bajo este programa? q pasa si uso por ejemplo ghostreader? o si hago los pdf con openoffice? 

o mas claro: ¿la vulnerabilidad es del adobe reader o del formato pdf? 

 por otra parte: dice q el fallo es de un plugin del reader ¿cual plugin? yo deshabilito todos los plugins del reader menos los esenciales para q abra + rapido, entonces la 2da pregunta es ¿cuál es el plugin vulnerable y q pasa si lo deshabilito o lo borro?

 salu2 y gracias de hantebrazo

Protegerse en sitios con IIS

Enviado por devjoker el 4. Enero 2007 - 10:34.

Una primera medida para protegerse en sitios que funcionen con IIS es deshabilitar cualquier tipo de permiso de ejecución sobre los directorios que contengan algún pdf.

Protegerse en sitios con IIS(Correcion)

Enviado por devjoker el 4. Enero 2007 - 10:51.

Al principio interprete mal la noticia, pense que permitia ejecutar codigo del lado del servidor ... por eso puse el comentario anterior!. Indagando un poco más veo que no ... por lo que el comentario anterior es un poco tonteria.

 

No lo entiendo

Enviado por raster el 4. Enero 2007 - 11:05.

A ver si me he enterado: un bug en el plugin de Adobe reader hace que se pueda ejecutar, en el cliente, cualquier código JavaScript que haya en un PDF bajado de una página, código que puede ser malicioso. Hasta aquí bien.

¿Pero qué tienen que ver los ficheros PDF de kriptópolis? Si los habeis hecho vosotros mismos entonces se supone que son fiables. ¿Por qué los retirais? ¿Me he perdido algo?

Un saludo.

En pocas palabras

Enviado por Turkistan el 4. Enero 2007 - 11:14.

Si un usuario de Kriptópolis se baja un pdf de Kriptópolis y su navegador lo abre con el plugin afectado puede sufrir la ejecución de código arbitrario en su navegador, como si el código procediera de Kriptópolis.

No me extraña que Kriptópolis retirara sus pdf. Es lo que debería hacer todo el mundo YA. 

Aclaración, plis:

Enviado por mahuro el 4. Enero 2007 - 11:15.

A ver si me he enterado bien: si tengo un servidor con un PDF infectado con cierto código javascript, supuestamente lo que pongo en peligro es la maquina del usuario que abra ese PDF no el propio servidor en sí ¿No?. Quiero decir que todo javascript se ejecutaría en la máquiina cliente ¿Es así?

"Aún con los ojos abiertos... ¡No veo absolutamente nada! <Zatoichi>

Perdón:

Enviado por mahuro el 4. Enero 2007 - 11:18.

Ya lo había aclarado bongo mientras yo escribía la pregunta. Gracias bongo 

 

"Aún con los ojos abiertos... ¡No veo absolutamente nada! <Zatoichi>

12siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
2 + 6 =
Resuelve esta sencilla operación e introduce el resultado.