Hackers podem programas antivírus pato e executar o malware em Adobe Reader usando imagens em tons de cinza, diz boffin segurança dinamarquesa Dénes Óvári.
A compressão com perdas é pensado para ser suscetível ao filtro DCTDecode , que deve bombardeá malwares tecida em imagens e neutralizar este tipo de ataque.
Entretanto nova inteligência publicado no Script papel em um córrego com perdas ( PDF ) mostra bandidos e testadores de penetração pode usar o filtro dentro de documentos PDF para esconder códigos maliciosos usando imagens JPEG que estão definidos para escala de cinzentos para evitar distorções.
Este processo dá antivírus e analistas de malware humanos o deslizamento, que geralmente assume qualquer esconder códigos maliciosos no filtro JPEG serão compactados e codificados.
"Na sequência da introdução de uma caixa de areia para o código JavaScript no Acrobat Reader, o uso de PDF como um vetor de ataque diminuiu dramaticamente", diz Óvári.
"Embora isso não seja uma falha de segurança em si mesmo, o fato de que o uso de DCTDecode para esta finalidade aparentemente foi descartada pela indústria significa que mesmo as ameaças conhecidas poderia ser escondido neste caminho de scanners ou pesquisadores anti-vírus.
"A fim de fornecer aos usuários com proteção máxima, o fluxo DCTDecode já não deve ser esquecida: em implementações de leitura de arquivos PDF, a referência dos dados de imagem sem compressão como parâmetros a partir de objetos que esperam dados binários deve ser proibida."
Óvári diz ataques ainda necessitam de exploits para ser usado dentro do córrego DCTDecode, reduzindo a ameaça global apresentado pela pesquisa.
Ele criou uma prova de conceito de ataque em que ele diz que um script foi codificado como imagem JPEG em escala de cinza de alta qualidade, colocado em um objeto de imagem filtrada com DCTDecode, e depois referenciado por uma entrada de ação JavaScript.
"Ao abrir o documento, o diálogo de alerta só aparece sob o antigo Reader 9, provando que o código do script curto foi descompactado losslessly", diz ele.
O ataque ainda funciona sob a versão mais recente do Reader com algumas pequenas modificações.
Óvári diz que outros formatos de arquivo que assumem dados dentro JPEGs usa compressão com perdas, enquanto um modo de escala de cinza está disponível deve ser reavaliado. ®
Nenhum comentário:
Postar um comentário