Hlavní navigace

Dalším nosičem škodlivých programů se stává PDF

Pavel Čepský 8. 3. 2011

Uživatelé už si naštěstí pomalu zvykli alespoň zčásti odolat podezřelým odkazům a nebezpečným přílohám v e-mailech od neznámých odesílatelů. Stejně tak jsou otrlejší k podvodným zprávám a phishingu. Co dál? PDF nás zachrání, řekli si útočníci.

Dokumenty PDF patří mezi nejčastěji používané formáty pro sdílení dokumentů na webu, nikoho dnes již příliš nepřekvapí, když obdrží právě takovýto soubor e-mailem nebo si v něm stáhne článek, knihu či manuál z webu. Díky jeho rozšířenosti není problém zpracovat formát PDF na různých platformách, nicméně uživatelé Windows by se měli mít na pozoru – útočníci své choutky a podvody velice často ztělesňují právě pomocí tohoto formátu.

Na nebezpečí aktuálně upozornila i společnost Symantec, která zmiňuje, že během uplynulého roku bylo pro distribuci malwaru nejpopulárnější právě PDF. Formát PDF je nyní hlavní typ souborů používaných k útokům, v roce 2009 využívalo přibližně 52,6 % cílených útoků formát PDF a v roce 2010 už to bylo 65 %, což je nárůst o 12,4 %. Přestože nyní v únoru došlo k poklesu, pokud by pokračoval trend z minulého roku, mohlo by v polovině roku 2011 až 76 % cíleného malwaru zneužívat PDF.

Paul Wood, MessageLabs Intelligence Senior Analyst společnosti Symantec, pak vzápětí dodává: „Cílené útoky zneužívající PDF nepolevují a lze očekávat, že se situace bude nadále zhoršovat, jelikož počítačoví zločinci musí hledat nové způsoby v oblasti malwaru a šíření a maskování škodlivého kódu.“ Ať už celkový poměr zastoupení nebezpečných PDF souborů oproti loňskému roku stoupne nebo klesne, jedno je jisté: koncoví uživatelé si musí tento typ útoků do svého seznamu ostražitosti přidat zdůrazňujícím červeným písmem.

Nebezpečná velikost

Jednou z možností, jak lze dokumenty PDF zneužít, je spuštění vloženého kódu. V drtivé většině případů mu však v prohlížeči (jímž je nejčastěji Adobe Reader) předchází zobrazení varovného dialogu a dotaz směřující k uživateli, zda chce danou akci povolit. V tomto kroku se obrazně řečeno láme chleba, jelikož nemálo uživatelů další z mnoha dialogů automaticky odsouhlasí, jen aby už byl pryč. Vina tak podobně jako u jiných útoků padá na bedra samotného uživatele, jelikož je zapotřebí jeho interakce.

Ukázka klasického spamu, který obsah šíří prostřednictvím PDF přílohy

Během loňského roku se však objevily také útoky, v nichž nemusí uživatelova bezhlavost hrát hlavní roli. O jednom z nich ve svém článku referoval populární Computeworld v článku Malicious PDF file doesn't need a software vulnerability. Didieru Stevensi, tvůrci odpovídajícího PoC kódu, se podařilo vyrobit upravený PDF dokument, který po svém otevření v Adobe Readeru upravil varovné hlášení, zmátl uživatele a automaticky spustil program Kalkulačka, výchozí součást Windows. Kalkulačka byla použita samozřejmě pouze pro účely ukázky možného nebezpečí, útočník by volání calc.exe mohl nahradit spuštěním vlastního škodlivého kódu.

Nebezpečné PDF dokumenty si vysloveně říkají o šíření dvěma nejčastějšími kanály, tedy prostřednictvím hromadně rozesílané nevyžádané pošty a skrze přímé stažení z webových stránek. Není od věci se na chvíli pozastavit nad vytížením pásma různými druhy spamu. Původní textový spam byl v tomto ohledu samozřejmě poměrně shovívavý, čistě textová nevyžádaná pošta otravovala, ale vytíženost linek v drtivé většině nevyčerpala (i když v úvahu vezmeme více historické datové propustnosti).

Obrázkový spam předznamenal problém, grafika hladce dokázala spolknout více. Vytížení pásma v absolutních číslech je samozřejmě v rámci několika málo spamů v organizacích zanedbatelné, když ale ve špičce dojde třeba k padesátipro­centnímu obsazení kapacity, lze to výrazně pocítit. Po textu a obrázcích si PDF spam nebere servítky, některé nevyžádané zprávy mají PDF přílohy v řádu stovek kilobajtů až megabajtu, nápor na přenos a omezené velikosti účtů tak není zanedbatelný.

Pomalu, zato vytrvale

Podle dřívějších zpráv se podíl spamu s přiloženými PDF soubory pohybuje kolem tříprocentní hranice veškeré nevyžádané pošty, nicméně v případě jednorázových vln může stoupnout na několikanásobek. Hlavním tématem nevyžádané pošty se PDF stávají staré dobré cenné papíry, sekundují nabídky farmaceutických výrobků a další témata, která dobře známe z ostatních forem spamu.

Sekce s bezpečnostními opravami a upozorněními na webu Adobe

Dokumenty ve formátu PDF nemusí být samy o sobě přímou hrozbou, ale „pouze“ zprostředkují zneužití jinou formou. Typicky se jedná o to donutit uživatele, aby otevřením PDF souboru v konkrétním prohlížeči dovolil využít zranitelnosti, která je pro odpovídající software známá. Jedná se o klasický a dlouhodobě známý i používaný scénář, jenž u PDF souborů cílí především na nově objevené skuliny Adobe Readeru – nejen pro něj je na stránkách Adobe ucelený souhrn bezpečnostních informací a vydaných oprav.

Jak takové nepřímé zneužití dokumentů PDF vypadá v praxi? Pro příklad sáhněme do odkazované databáze Adobe, která kromě jiných nabízí i popis oblíbeného Denial of Service útoku. V dřívější verzi aplikace Adobe Reader byla objevena vysoce kritická zranitelnost, jejímž zneužitím by útočník mohl zapříčinit již zmíněný útok DoS, kromě Adobe Readeru byl postižen také program Adobe Acrobat.

EBF16

Chyba obou programů postihovala uživatele webového prohlížeče Internet Explorer, doporučené řešení spočívalo ve vymazání knihovny AcroPDF.dll, které znemožní otevírání PDF dokumentů v Internet Exploreru. V případě napadení byl průběh jednoduchý, uživatel v Internet Exploreru otevřel připravený soubor PDF, Adobe Reader takzvaně „spadl“ a takto provedený DoS útok ještě mohl vyústit ke vzdálenému spuštění kódu.

V případě nevyžádané pošty obsahující PDF přílohy je obrana jednoduchá, stačí udržet svou zvědavost na uzdě a takovéto dokumenty neotevírat. U automatického zneužití nově objevených skulin PDF čteček se pak dalším nezbytným dílem stává stahování a otevírání PDF dokumentů pouze z důvěryhodných zdrojů, společně s pravidelnou aktualizací odpovídajícího softwaru. Zneužití dokumentů PDF je plíživou hrozbou, nelze čekat, že by se skokově stalo primárním prostředkem útočníků. O to delší dobu však může škodit a otravovat nám život v menší míře.

Našli jste v článku chybu?
Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

Vitalia.cz: 5 pravidel proti infekci močových cest

5 pravidel proti infekci močových cest

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Vytvořte si web sami. Redakční systém Tumblr

Vytvořte si web sami. Redakční systém Tumblr

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn