• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seguridad en PDF: Adobe ¬¬
 

Seguridad en PDF: Adobe ¬¬

on

  • 4,478 views

Uso de Metasploit para generar un PDF que explota CoolType SING en Adobe Reader 9

Uso de Metasploit para generar un PDF que explota CoolType SING en Adobe Reader 9

Statistics

Views

Total Views
4,478
Views on SlideShare
2,669
Embed Views
1,809

Actions

Likes
1
Downloads
103
Comments
1

26 Embeds 1,809

http://www.securitybydefault.com 1486
http://muyseguridad.net 139
http://paper.li 74
http://static.slidesharecdn.com 34
http://www.mikejr1.es 17
http://globalip.blogspot.com 14
http://seguinfcol.blogspot.com 10
http://globalip.blogspot.com.es 5
http://globalip.blogspot.mx 3
http://mikejr1.es 3
http://feeds.feedburner.com 2
http://globalip.blogspot.com.ar 2
http://www.b1nary0.com.ar 2
http://seguinfcol.blogspot.com.es 2
http://translate.googleusercontent.com 2
http://webcache.googleusercontent.com 2
http://127.0.0.1:8795 2
http://www.netvibes.com 2
http://www.slideshare.net 1
http://globalip.blogspot.gr 1
http://seguinfcol.blogspot.ru 1
http://cloud.feedly.com 1
http://www.blogger.com 1
http://seguinfcol.blogspot.mx 1
http://seguinfcol.blogspot.com.ar 1
http://globalip.blogspot.ca 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Seguridad en PDF: Adobe ¬¬ Seguridad en PDF: Adobe ¬¬ Presentation Transcript

    • GSIC 2011 Alejandro Ramoswww.securitybydefault.com
    •  Manager del TigerTeam de SIA Profesor en el MOSTIC de la Universidad Europea de Madrid Editor de SecurityByDefault.com Twitter: @aramosf Blah Blah…
    •  Introducción Estructura del PDT Aspectos de seguridad Análisis y creación de un PDF (¡sin word!) Recomendaciones
    •  Portable Document Format Creado por Adobe Systems Estándar ISO/IEC 32000-1:2008 Documentos susceptibles de ser impresos Multiplataforma Especificación abierta (Julio 2008)
    • 1.0 2.0 3.0 4.0 5.0 6.0 7.0 8.0 9.0 9.1 10
    • CVE Bug VersiónCVE-2007-5659 Collab.collectEmailInfo <8.1.1CVE-2008-2992 Util.printf <8.1.2CVE-2009-0927 Collab.getIcon <9.0CVE-2009-4324 Doc.media.newPlayer <9.2CVE-2009-0658 JBIG2 Decode <9.0CVE-2010-0188 LibTIFF <9.3.0CVE-2010-1240 Embedded EXE Ing. SocialCVE-2010-1297 Flash Player authplay 9.3.3 8..2.3CVE-2010-2883 CoolType SING 9.4 8.2
    • Fuente AvertLabs:http://bit.ly/aOhWu5
    •  Problematic Document Format Penetration Document Format Portable Document Format Polanski
    •  Compuesto mediante colección de objetos Interacción entre objetos Interacción con el cliente (render): protección de contraseña, impresión. Objetos de múltiples tipos: imágenes, texto, formas geométricas, fuentes… Soporte de compresión: JPEG2000, JPEG, CCITT, Flate(Zip)
    • CabeceraObjeto 1 2 3Objeto 2 4Objeto NTabla XREF 5 6 7 Trailer
    • Cabecera Comienzo de trailer sección << Objeto /Size 3 Num. De objetos /Root 1 0 R Objeto raiz >> (catalogo) Objeto startxref … 8482 %%EOF Localización de Tabla XREFTabla XREF  Ha de contener Catalogo: /Root Trailer  Número de entradas XREF /Size  Puede incluir información adicional: /Encrypt /Info /ID
    • Comienzo de sección Primer obj. Num. Objetos Objeto libreCabecera xref 0 6 Objeto 0000000000 65535 f 0000000008 00000 n Objeto 0000000123 00000 n Objetos … 0000000429 00000 n en usoTabla XREF Offsets de Num. Del objetos siguiente Trailer objeto libre
    • ID de objeto Revisión Tipo deCabecera objeto 1 0 obj << Objeto /Type /Catalog /Pages 2 0 R Objeto >> Referencia a … endobj otro objetoTabla XREF Trailer
    • Cabecera %PDF-1.4 Objeto Objeto Versión del formato 1.0-1.7 …Tabla XREF Trailer
    • El fichero original Fichero Original CabeceraObjeto 1 permanece intactoObjeto 2  Nueva tabla XREF con losTabla XREF nuevos objetos y un enlace Trailer a la antigua tabla xref Característica!: Soporte Actualización 1 Objeto 3 para regresión de versiones.Tabla XREF Trailer
    • Ejemplo
    • $ python pdf-parser.py hola.pdf xref [(3, xref), (3, 0), (3, 15), (3,PDF Comment %PDF-1.4n 0000000000), (3, 65535), (3, fPDF Comment %xc7xecx8fxa2n ), (3, 0000000557), (3, 00000), (3, n), (3, 0000003638), (3, 00000), ( 3, n), (3, 0000000489), (3, 00000),obj 5 0 (3, n), (3, 0000000329), (3, 0000 Type: 0), (3, n) Referencing: 6 0 R trailer<< << /Length 6 0 R /Size 15 /Root 10R /Filter /FlateDecode /Info 20R >> /ID [(44444)] >>obj 6 0 Type: startxref 3828 Referencing: PDF Comment %%EOFn [(1, n), (3, 225), (1, n)]
    • Selección de método de seguridad Elegir si crear una política Seleccionar los componentes a cifrar Revisar la configuración Almacenar el documento
    •  NO SE CIFRA EL DOCUMENTO COMPLETO. Objetos Stream y cadenas de texto. Modificaciones en versiones
    • Posición Uso $ python pdf-parser.py test.pdf … 3 Impresión obj 98 0 4 Modificación << 5 Extracción (copiar y /Filter /Standard pegar) /V 1 6 Anotaciones /R 2 /O (±†KŸ|ÿG+¡ÌËpTÔ“Û•ÚÃÐßÏ„´_{«B) 9 Formularios /U (¨KM¾åòøƒ½ø-CïP8¨Ëî}¼,ÊpOCt%r) 10 Extracción /P -44 >> texto/gráficos … 11 Eliminar/Insertar, rotar 12 Impresión (mala calidad) http://www.unlock-pdf.com/ http://www.ensode.net/pdf-crack.jsf http://www.pdfunlock.com/ http://pdfpirate.net http://freemypdf.com
    •  El PDF se puede firmar digitalmente La firma comprende el documento completo El certificado x509 o PKCS7 se incluye en el documento El documento es validado al abrirse Un documento firmado puede incluir resumen y convertirse en certificado. Documentos certificados pueden tener privilegios especiales: contenido dinámico, ejecución de JavaScript, etc.
    •  Mediante los objetos /Metadata e /Info Fecha de creación, modificación, autor, software, correo electrónico… Se almacenan revisiones
    • 1650 0 obj<< /Length 1152>>stream....ETEMC154.67999 223.25999 76.32001 13.8 ref/P <</MCID 35 >>BDCBT/TT0 1 Tf12 0 0 12 90 225.9001 Tm( 1. (U) Third Infantry Division . . . ............ . . . . . . . . . . . . . . . . . . . . . . . . 8 )Tj
    •  Uso de interprete con funciones propias Modificación de SpiderMonkey Ejecución por defecto en un contexto sin privilegios Dos posibilidades de llamar al código: ◦ Incluyendo el JS en el PDF ◦ Script dentro del directorio de instalación: <install>/JavaScripts/*.js  Estos scripts se ejecutan con mayores privilegios.
    • Triggers Uso/OpenAction Acción al abrir el documento Acción cuando una página/OpenAction con /AA determinada es mostrada Añadir anotación a la primera/Annots con /AA página y ejecutar acción cuando es mostrada/Names objetos ejecutables del catálogo Ejecuta una comando de sistema/Launch cuando se abre el documento
    • 1 0 obj 7 0 obj<< << /Type /Catalog /Length 0000 /Outlines 2 0 R >> /Pages 3 0 R stream /OpenAction << var i=0,m=,t=[1100,0101];var /JS 7 0 R ZJi=s3nT(app.viewerVersion.toString()); /S /JavaScript var >> buD=aug(ZJi[1],ZJi[0]);app.eval(dqo());>> m0ii=0,rm=;while(m0ii<mOii.length){endobj rm+=String.fromCharCode(klX(mOii.su … endstream endobj
    • Localización del código malicioso Extracción de los segmentos del fichero Si es necesario, desensamblado de la shellcode Si es necesario, deofuscación y compresión del código script Compresión de la cadena de infección
    • Herramienta URLOrigami http://seclabs.org/origami/PDFTools http://blog.didierstevens.com/programs/pdf-tools/Pdfresurrect http://757labs.org/wiki/Projects/pdfresurrectPdftk http://www.accesspdf.com/pdftk/QPDF http://sourceforge.net/projects/qpdf/PDFMiner http://www.unixuser.org/~euske/python/pdfminer/index.ht mlPDF Dissector http://www.zynamics.com/dissector.htmlPDF Stream Dumper http://sandsprite.com/blogs/index.php?uid=7&pid=57Opaf! http://feliam.wordpress.com/2010/08/23/opaf/
    • Herramienta URLMalzilla http://malzilla.sourceforge.net/SpiderMonkey https://www.mozilla.org/js/spidermonkey/jsunpack https://code.google.com/p/jsunpack-n/
    • Herramienta URLVirusTotal http://www.virustotal.comWepawet http://wepawet.cs.ucsb.edu/ThreatExpert http://www.threatexpert.com/CWSandbox http://www.sunbeltsecurity.com/sandbox/Jsunpack http://jsunpack.jeek.org/dec/go
    • Herramienta URLOrigami http://seclabs.org/origami/Metasploit http://www.metasploit.com/PDFInjector https://milo2012.wordpress.com/2009/09/21/hel lo-worldMake-pdf http://blog.didierstevens.com/programs/pdf- tools/
    •  Mantener actualizada la aplicación Desactivar el plug-in del navegador Desactivar soporte JavaScript Usar el lector con usuarios sin privilegios Confiar únicamente en archivos que vengan de fuentes conocidas Usar productos alternativos: Foxit/Sumatra
    •  La dificultad de explotar vulnerabilidades en el SO esta obligando a que se encuentren nuevas vías en software de terceros Existen productos usados masivamente casi sin explorar El malware encontrará el camino
    • Podéis descargar esta presentación en PDF ;-)Referenciashttp://www.blackhat.com/presentations/bh-europe-08/Filiol/Presentation/bh-eu-08-filiol.pdfhttp://esec.fr.sogeti.com/blog/index.php?2009/06/26/68-at-least-4-ways-to-die-opening-a-pdfhttp://conference.hackinthebox.org/hitbsecconf2009kl/materials/D2T1%20-%20Frederic%20Raynal%20-%20PDF%20Origami%20Strikes%20Back.pdfhttp://zeltser.com/reverse-malware/analyzing-malicious-documents.htmlhttp://www.forensicswiki.org/wiki/PDFhttp://blog.didierstevens.com/programs/pdf-tools/http://blogs.adobe.com/pdfdevjunkie/PDF_Inside_and_Out.pdf
    • Gracias.http://www.securitybydefault.com