9194 Letture

"Fuga" dai documenti PDF: nuova minaccia all'orizzonte

Il ricercatore belga Didier Stevens ha pubblicato i risultati di una sua nuova scoperta. Da profondo conoscitore del "dietro le quinte" dei file PDF, Stevens - che ha rilasciato in passato anche alcuni eccellenti software per l'analisi della struttura e del contenuto dei documenti PDF - ha offerto alcuni dettagli circa la possibilità di sfruttare i documenti nel formato Adobe per eseguire codice potenzialmente nocivo sul sistema degli utenti. "Nulla di nuovo sotto il sole", penseranno di sicuro i nostri lettori. In passato, infatti, sono state scoperte numerose vulnerabilità relative a bug più o meno gravi nella gestione del file da parte, ad esempio, di Adobe Reader o di altri software "alternativi".

Nel corso della sua indagine, invece, Stevens è giunto ad un'interessante conclusione: vi sarebbe un problema "by design" insito nel formato PDF che faciliterebbe l'esecuzione di codice arbitrario. Il ricercatore ha infatti esordito osservando: "ho allestito un documento PDF di prova con l'obiettivo di avviare un eseguibile, in esso integrato, senza sfruttare alcuna vulnerabilità". L'esperimento è riuscito.


Inserendo un file eseguibile all'interno del PDF ed aprendolo con Adobe Reader, Stevens spiega che il programma visualizza un messaggio di allerta invitando l'utente ad accettare l'avvio del programma inserito nel documento. Il ricercatore ha comunque dichiarato di essere riuscito a modificare, almeno parzialmente, il messaggio visualizzato nella finestra di dialogo di Adobe Reader. Inoltre, viene osservato come nel caso di Foxit Reader il file eseguibile sia aperto senza la visualizzazione di alcuna finestra di avviso.

Nella sua analisi, Stevens ha dichiarato di aver individuato anche una seconda metodologia per l'esecuzione di .exe "inglobati" all'interno di documenti PDF. Anche in questo caso, Adobe Reader mostra una finestra di allerta sebbene il testo sia facilmente modificabile, ad esempio, per trarre in inganno l'utente ed indurlo ad eseguire inconsapevolmente il file dannoso. Anche in questo caso, Foxit Reader non mostra alcun messaggio.




Per il momento, Stevens ha responsabilmente deciso di non rendere pubblico il codice exploit in grado di causare l'avvio dell'eseguibile "embedded" spiegando di essere in contatto con i vari vendor per la risoluzione della problematica.

Stevens ha precisato che la disabilitazione dell'esecuzione del codice JavaScript in Adobe Reader, così come negli altri software per la lettura dei documenti PDF, in questo caso non offre alcun aiuto. Ed ha poi aggiunto: "non ho sfruttato alcun tipo di vulnerabilità: ho solo usato le specifiche PDF in modo un po' creativo".