Nhúng mã độc vào file PDF không cần qua lỗi bảo mật

Tấn công vào hệ thống thông qua mã độc được nhúng trong tập tin PDF cho dù người dùng mở bằng các phiên bản Adobe Reader hay Foxit Reader mới nhất. Đây là thông tin gây sốc được chuyên gia nghiên cứu bảo mật Didier Stevens công bố. Mã tùy chọn sẽ thực thi khi mở tập tin PDF bằng 2 phần mềm xem file PDF phổ biến nhất hiện nay là Adobe Reader và Foxit Reader mà không cần phải khai thác lỗi nào từ 2 phần mềm này. Thiết lập mặc định trong 2 phần mềm xem file...
Nội dung trích xuất từ tài liệu:
Nhúng mã độc vào file PDF không cần qua lỗi bảo mậtNhúng mã độc vào filePDF không cần qua lỗi bảo mậtTấn công vào hệ thống thông qua mã độc được nhúng trongtập tin PDF cho dù người dùng mở bằng các phiên bảnAdobe Reader hay Foxit Reader mới nhất. Đây là thông tin gây sốc được chuyên gia nghiên cứu bảo mật Didier Stevens công bố. Mã tùy chọn sẽ thực thi khi mở tập tin PDF bằng 2 phần mềm xem file PDF phổ biếnnhất hiện nay là Adobe Reader và Foxit Reader mà không cầnphải khai thác lỗi nào từ 2 phần mềm này.Thiết lập mặc định trong 2 phần mềm xem file PDF không chophép nhúng mã thực thi có thể chạy trực tiếp nhưng cả 2 lại bịqua mặt bởi một câu lệnh. Điều này có nghĩa là người dùng rất dễbị dính mã độc khi mở tập tin PDF, loại định dạng tập tin tài liệurất phổ biến trên internet, bằng Adobe Reader hay Foxit Readermặc dù cả 2 phần mềm này không mắc phải lỗi bảo mật nào.Trong ví dụ thử nghiệm chứng minh có thể nhúng mã độc và thựcthi dễ dàng từ trong tập tin PDF, Stevens cho biết đã sử dụng tùychọn Launch Actions/Launch File để chạy công cụ máy tính(calculator) mà có thể bị thay thế bằng mã độc trong một cuộc tấncông thật khi mở tập tin PDF bằng Adobe Reader 9.3.1 trongWindows XP SP3 và Windows 7 (Xem video clip dưới đây).Điều đáng mừng là Stevens không công bố mã khai thác ra ngoàimà chỉ thông báo đến Adobe lẫn Foxit để 2 hãng này sớm tìmcách khắc phục vì người dùng hoàn toàn bị động trong trườnghợp bị tấn công bởi lỗi này. Tin tặc hoàn toàn có thể thay đổi nộidung lời cảnh báo mặc định của Adobe Reader khi mở tập tin cónhúng mã thực thi.Để mở cửa sổ câu lệnh Windows Command Prompt từ tập tinPDF, Adobe Reader buộc người dùng phải xác nhậnTuy nhiên, thông báo bảo mật có thể bị thay đổi để đánh lừangười dùngÝ tưởng khai thác này đã được Jeremy Conway, một chuyên gianghiên cứu bảo mật độc lập biến tấu cách thức mới mà tin tặccó thể tấn công. Xem thêm thông tin và video clip tại đây.Những sản phẩm phổ thông của hãng phần mềm Adobe nhưFlash Player, định dạng tập tin PDF hay Adobe Reader... đã trởthành mục tiêu lớn của giới tin tặc vì hầu hết máy tính trên toàncầu đều có cài đặt các ứng dụng này. Bạn đọc cần cảnh giác trướccác tập tin PDF không có xuất xứ hoặc được gửi từ những nguồnlạ, chia sẻ công cộng từ internet và luôn để các chương trình bảomật chạy thường trực trên hệ thống.