Uso de PDF para Exploração de Vulnerabilidades

Não faz muito tempo recebi uma notificação de uma pessoa por email dizendo que tinha achado meu livro (de Forefront TMG) para download em um site (não me disse qual era) e perguntando se era de fato livre para download. Respondi que não era um livro free, e quem colocou para download está indo de encontro as leis de Copyright. A conversa não se estendeu muito, aparentemente o rapaz ficou com medo que eu fizesse algo contra ele….mas o fato é que até gostei dele ter me trazido a tona tal caso e ter sido honesto de me perguntar se era legal ou não.

Porém, a parte que mais ficou estranha na conversa foi quando ele me disse que o PDF tinha mais de 500 MB de tamanho. O que seria impossível ser o livro original que não chega nem a 30MB…ou seja, tinha alguma outra coisa neste PDF que quando ele abrisse iria disparar algo, possivelmente infectar o sistema da pessoa.

Análise de PDF é um passo muito importante para entender como as vulnerabilidades estão sendo exploradas por criminosos cibernéticos. Os dois cenários abaixo vão lhe mostrar como fazer isso na plataforma Windows e na plataforma Linux.

Cenário 1 – Análise de PDF na Plataforma Windows

Ao executar esta ferramenta em um PDF, você vai verificar que imediatamente ele mostra se achou algo ou não:

clip_image002
Figura 1 – Um arquivo que não foi comprometido

clip_image004
Figura 2 – Um arquivo comprometido

No Arquivo comprometido é fácil identificar que o CVE da vulnerabilidade é mencionado na saída do comando. Nesse caso trata-se de uma vulnerabilidade no Adobe Acrobat/Reader 8.1.2 que permite execução de código arbitrário devido uma falha de buffer overflow no produto. Mais informações sobre a vulnerabilidade em http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992

Cenário 2 – Análise de PDF na Plataforma Linux

Após ter sido feito o parser do PDF, o output mostra a seguinte saída:

clip_image006
Figura 3 – Parse do PDF

Com essa saída você consegue visualizar o que está embutido no arquivo. Por exemplo: se tiver algum código Java embutido você imediatamente vai visualizar. Você poder utilizar o pdf-parser para fazer um dump do metadata do arquivo para um TXT, neste caso é possível ver mais detalhes. Para este arquivo de exemplo temos:

clip_image008
Figure 4 – Dump do PDF

Conclusão

Este foi um pequeno exemplo de como utilizar algumas ferramentas livres para extrair informação de PDF e verificar se o mesmo está comprometido com malware. Muito cuidado ao fazer download de arquivo PDF, muitas vezes somos levados a crer que por ser “read only” o arquivo é seguro, porém não é verdade. Fique atento e mantenha-se seguro.

Até a próxima

This entry was posted in Uncategorized and tagged , , , , , . Bookmark the permalink.

4 Responses to Uso de PDF para Exploração de Vulnerabilidades

  1. Daniel says:

    Yuri, muito bom esse seu post. Nós de TI temos ferramentas e conhecimento de como fazer análise de possíveis ameaças. Mas para os usuários comuns, acredito que o alerta é manter os softwares sempre atualizados, o firewall ligado, um bom antivírus atualizado e fazer varreduras periódicas.

  2. Obrigado pelo feedback de todos! Abraços

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s