ایراد در ساختار فرمت PDF و تهدیدهای مربوط به آن

کامپیوترورلد طی گزارشی اعلام کرد، ایرادی در طراحی فرمت رایج PDF ادوبی شناسایی شده که با استفاده از آن هکرها می‌توانند بدافزارهای مالی را روی کامپیوترهای کاربران نصب کنند. البته این ایراد ‌را نمی‌توان به‌طور کامل یک ضعف امنیتی قلمداد کرد.

کامپیوترورلد طی گزارشی اعلام کرد، ایرادی در طراحی فرمت رایج PDF ادوبی شناسایی شده که با استفاده از آن هکرها می‌توانند بدافزارهای مالی را روی کامپیوترهای کاربران نصب کنند. البته این ایراد ‌را نمی‌توان به‌طور کامل یک ضعف امنیتی قلمداد کرد. چندی پیش استیونس، از پژوهشگران بلژیکی بخشی از مشکل مذکور را فاش کرده و نشان داد که چطور می‌توان بااستفاده از تابع Launch/ در این ویژگی PDF طی حمله‌ای چندمرحله‌ای، حتی یک نسخه کاملاً اصلاحیه‌گذاری شده Adobe Reader را نیز تحت‌کنترل درآورد. 

راهبردی که استیونس ازآن بهره برده، برخلاف بسیاری از حمله‌هایی است که با استفاده از ضعف‌های امنیتی فایل‌های PDF به آن‌ها آسیب می‌رسانند. جهت نفوذ به این فایل‌ها به وجود چنین ضعف‌هایی در نرم‌افزار Adobe Reader یا Acrobat نیازی نیست و درعوض از مهندسی اجتماعی برای نیرنگ کاربران و بازکردن یک PDF آلوده استفاده می‌کند.

استیونس در دموی خود نشان داد که چگونه از یک سند PDF که حاوی کد مهاجم است برای سوءاستفاده از تابع Launch/ بهره می‌برد. بااین‌که Adobe Reader و Acrobat اجرای یک برنامه در داخل یک فایل PDF را تشخیص داده و یک پیغام اخطار نمایش می‌دهند، استیونس راهی پیدا کرده که پیغام مذکور را اندکی تغییر می‌دهد تا کاربر را بیش‌ازپیش به تأیید این فرآیند مجاب کند.

بودای مدیرعامل شرکت Truster از عرضه‌کنندگان محصولات و خدمات امنیتی می‌گوید: «هکرها می‌توانند به سادگی مشابه آنچه‌را که استیونس انجام داده‌است، انجام دهند.» به گفته او، اطلاعات استیونس بسیار روشن و اقتباس از آن ساده است و چنین به‌نظر می‌رسد که حمله‌ای که با استفاده از آن انجام می‌شود، بسیار مؤثر است. هرچند استیونس کدهای این حمله را منتشر نکرده‌است، مهندسان Truster به‌سادگی توانستند حمله او را که شامل ایجاد تغییرات در پیغام‌های اخطار نرم‌افزارهای Reader و Acrobat بود، تقلید کنند. بودای تصور می‌کند که مجرمان نیز می‌توانند از این حمله تقلید کنند.

او می‌گوید: «مجرمان می‌توانند در شبکه سایت‌هایی که هک شده‌اند با انجام چندین حمله بکوشند تا کامپیوترهای بیشتری را آلوده کنند و ایرادی که به‌تازگی شناسایی شده گزینه دیگری برای این منظور است.» ادوبی ایراد مذکور را تأیید کرده، اما تا زمان تهیه این گزارش برای مقابله با این حمله اصلاحیه‌ای منتشر نکرده‌است، با این‌همه به کاربران اعلام کرده، با تغییر تنظیمات Reader و Acrobat، تابع Launch/ را غیرفعال کنند. گاتوالز مدیر تولید گروه Adobe Reader چندی پیش توصیه کرد، کاربران با برداشتن تیک گزینه Allow opening of non-PDF file attachments with external applications در صفحه ترجیحات یا Preferences آن‌ها حمله‌ها را بلوکه کنند. Reader و Acrobat به‌طور پیش‌فرض گزینه مذکور را تیک زده‌اند و این به آن معنی ‌است که حمله‌ای که استیونس آن‌را گزارش کرده‌است می‌تواند انجام پذیرد.

گاتوالز همچنین نشان داد، چگونه مدیران آی‌تی مراکز بزرگ می‌توانند از رجیستری ویندوز، روی همه کامپیوترها تیک گزینه مذکور را در Reader و Acrobat بردارند. آرکین از دیگر مدیران ادوبی نیز چندین گزینه را برای حل‌کردن این مشکل توصیه می‌کند که ازجمله آن‌ها یک به‌روزرسانی در نرم‌افزارهای Reader و Acrobat است که تیک پیش‌فرض آن گزینه را برمی‌دارد.

ادوبی زمانی که اظهارداشت قصد ندارد اجراپذیری جاوااسکریپت را از اسناد PDF حذف کند نیز همین توضیح را داده‌بود؛ درخلال سال گذشته هکرها بارها با سوءاستفاده از ضعف‌های Reader و Acrobat در پیاده‌سازی این زبان اسکریپت‌نویسی حمله‌های متعددی را انجام داده‌بودند.

به گفته بودای حمله‌هایی که بااستفاده از مهندسی اجتماعی صورت می‌گیرند، روبه افزایش هستند و به‌ویژه در حمله‌هایی که اهداف مالی را دنبال می‌کنند، چه درخصوص مؤسسات مالی و چه درخصوص مشتریان، بیش‌ازپیش رواج می‌یابند.

او مقابله با این تهدیدها را برای مراکز بزرگ آسان‌تر می‌داند، زیرا مدیران امنیتی می‌توانند تهدید را روی شبکه خود برآورد کرده و بااستفاده از یک سیستم مرکزی آن‌را خنثی کنند، اما مشتریان دراین خصوص با مشکل بیشتری مواجه هستند، زیرا تعداد اندکی از کاربران از وجود چنین تهدیدی آگاه هستند و کسانی که به وجود آن واقفند شاید ندانند چه باید بکنند. ادوبی درآن زمان اظهار داشته‌بود، مجموعه‌ای از اصلاحیه‌های امنیتی را برای نرم‌افزارهای Reader و Acrobat منتشر خواهدکرد، اما درباره انتشار اصلاحیه برای فائق آمدن بر این ایراد سخنی نگفته بود.