PDF dosyalarıyla sisteme sızdılar
Abone olGeçerli, okunabilir bir PDF dosyası içerisinde siyah beyaz JPEG dosyası kullanarak hedef sisteme sızmak mümkün.
Zararlı kod yerleştirilmiş PDF dosyaları kurumsal ve
kişisel bilgisayarlarda yaygın şekilde kullanılan Adobe Acrobat
Reader tarafından açılabiliyor.
Bilişim güvenliği sitesi Terramedusa, PDF dosyalarıyla ilgili şaşırtıcı bu ayrıntıyı okurlara duyurdu. İşte o haber:
PDF dosyaları ile sisteme sızma tekniği önceden de kullanılıyordu. Fakat bu okunamayan ve geçersiz şekilde oluşturulmuş PDF dosyaları yoluyla yapılıyordu. Antivirus yazılımları ise okunabilir olmayan PDF dosyalarını tespit ederek işaretleyerek karantinaya alabiliyordu.
HİSSETİRMEDEN SİSTEMDE KOD ÇALIŞTIRILABİLİYOR
Şimdi ise durum farklı. Geçerli ve açtığınızda okuyabileceğiniz
PDF dosyaları içerisinde hiç hissettirmeden sistemde kod
çalıştırılabiliyor. Performansı arttırmak için kullanılan DCTDecode
adında bir kütüphane bu zafiyete sebep oluyor. Kullanılan
kütüphanenin işlevi JPEG dosyalarının RGB renk yoğunluğunu
düşürerek PDF dosyasını okurken sistemi yavaşlatmamak.
Fakat kütüphane aynı şeyi düzgün şekilde siyah beyaz JPEG dosyaları için gerçekleştiremiyor. PDF içindeki siyah beyaz JPEG dosyaları sadece siyah ve beyaz renklerin yoğunluk bilgilerini içeriyor. Araştırmacılar kısa bir scripti encode ederek, siyah beyaz bir JPEG dosyası olarak, en yüksek kaliteyle PDF içerisine yerleştirdi. Bu haliyle PDF dosyasını okuyarak siyah beyaz JPEG’i proses etmeye çalışan DCTDecode yerleştirilen zararlı kodu çalıştırdı.
ABODE PROGRAMINDA AÇILABİLİYOR
İşin asıl tehdit kısmı ise bu içerisine zararlı kod yerleştirilmiş PDF dosyalarını Adobe Acrobat Reader’ın açabilmesi. Problemsiz şekilde açılan zararlı kod içeren PDF dosyaları, kurumsal ve kişisel bilgisayarlarda yaygın şekilde kullanılan Adobe Acrobat Reader tarafından okunabiliyor. Dolayısıyla zararlı kod bu yazılımın kullanıldığı sistemlerde sessizce çalıştırılıyor. An itibarı ile Adobe Acrobat Reader 9 versiyonu bu zafiyetten etkileniyor. Diğer versiyonlar için ise bazı küçük değişiklikler yapıldıktan sonra istismar etmek mümkün.