Failles PDF…

Et c’est reparti. Sur le blog de Didier Stevens, un bel exemple d’attaque PDF qui lance un programme exécutable (ici, une fenêtre en ligne de commande) en cliquant sur le PDF.

Ca fonctionne bien avec Adobe Acrobat Reader, mais aussi avec Foxit Reader, un lecteur de fichiers PDF alternatif.

Sous Acrobat Reader, il y a bien un avertissement, mais le texte est falsifiable et explique à l’utilisateur qu’il faut valider ! C’est ce que Didier Stevens explique sur son blog : Il remplace le nom de l’exécutable qui s’affiche par un texte choisi arbitrairement pour inciter l’utilisateur à cliquer…

Sous Foxit Reader, c’est encore pire : aucun avertissement…

Pour vous prouver la chose, le PDF en question est ici : launch-action-cmd. Pas de danger (pour le moment), celui-ci ne fait « que » lancer une fenêtre cmd.exe… On pourrait faire bien pire.

Techniquement c’est très simple. Vous pouvez ouvrir le fichier PDF au format texte avec Notepad.exe ou PsPad si vous voulez voir ce qui est écrit dedans. Le déclenchement se passe ici :

8 0 obj
<<
/Type /Action
/S /Launch
/Win
<<
/F (cmd.exe)
>>
>>
endobj

C’est aussi simple que ça…

Pour rappel lors du dernier SSTIC, Fred Raynal avait démontré cela également, sous la forme d’un fichier PDF qui lançait la calculatrice Windows. Le PDF peut être lancé ici : calc.pdf . Ce PDF est d’autant plus intéressant qu’il est multiplateformes (Linux, Mac, Windows…) :

/F
/DOS (C:\\\\WINDOWS\\\\system32\\\\calc.exe)
/Unix (/usr/bin/xcalc)
/Mac (/Applications/Calculator.app)

Là où ça devient intéressant, c’est quand Didier Stevens y intègre un programme pour voler des informations sensibles. Ce billet montre comment un « simple » fichier PDF est capable de chercher puis de transmettre le fichier « budget.xls » qui traîne sur le poste de travail… C’est également possible avec les macros Excel dans cet exemple, mais bon…

Voilà…

2 Comments »

Bruno Kerouanton on mars 31st 2010 in IT Security

2 Responses to “Failles PDF…”

  1. miib responded on 08 Avr 2010 at 23:12 #

    …mais à quoi peut donc servir un PDF qui lancerait une calculatrice !
    Je peux très bien la lancer mois même 😉

    Concernant la présentation de Fred Raynal : seclabs.org/fred/docs/sstic09/sstic09-origami.pdf

  2. malijemI-online responded on 21 Sep 2010 at 12:16 #

    BON DEPART

Trackback URI | Comments RSS

Laisser un commentaire