Gli attacchi descritti sono una semplice proof-of-concept ma il messaggio e’ chiarissimo: e’ possibile sfruttare i file PDF per come cavallo di troia, andando automaticamente ad una URL, piuttosto che enumerando i database della macchina su cui viene letto il file…
Il problema e’ che abbiamo ripetuto ad nauseam di non aprire file “exe|com|pif|bat|zip” e via discorrendo. I file di Office sono sempre stati un caso a parte per via delle macro ma qui… e’ un terreno che, almeno a me, pare decisamente quasi vergine. E’ vero che con il supporto di form in HTML e javascript si poteva anche pensare che ci si sarebbe arrivati ma quasi nessuno percepisce i file PDF come “rischiosi”.
C’e’ poi un altro elemento che colpisce: le tecniche sfruttate sono sempre meno attive (intendo quelle cose tipo buffer overflow e compagnia) e sempre piu’ passive (sfruttando appunto il web, o un file di “dati”). Chissa’ se le aziende specializzate hanno gia’ aggiornato il loro portafoglio con penetration test mirati ai client…
Update: per segnalare un link con qualche approfondimento ed un paio di file PDF per la verifica al volo 
by gaetano zappulla
17 Sep 2006 at 00:10
beh, web-hacking e attacchi client-side sono il presente e il futuro prossimo. Ti confermo, come tu giustamente ti sei immaginato, che questo tipo di attacchi sono sempre piu’ sfruttati, sia dai pentester che dalla “gente cattiva”
ciao.
Pingback
by quasi.dot » Blog Archive » PDF, considerazioni volanti
17 Sep 2006 at 01:10
[...] La questione della vulnerabilità dei PDF è abbastanza preoccupante: intanto perché i file PDF hanno molti difetti ma anche il pregio di essere molto utili, poi perché mentre si sta diffondendo una certa attenzione alla configurazione del browser internet ed alla sua configurazione acrobat reader è quello. Le alternative ci sono, e giustamente qualcuno consiglia foxit. E’ una soluzione plausibile, pur non avendo i benefici che possono portare Opera e Firefox quando usati in alternativa ad Internet Explorer (no link, sorry). [...]