PDF, scoperto l'exploit perfetto?

Il ricercatore Didier Stevens ha pubblicato un nuovo allarme relativo alla sicurezza dei file PDF, sempre di più un veicolo di punta per la trasmissione di malware ed exploit. Nel caso specifico, però, l’allarme sembra andare oltre la normale natura degli attacchi poichè in questo caso ad essere aggirata è la credulità dell’utente. L’exploit, insomma, può essere mandato a segno anche in mancanza di vulnerabilità specifiche, poichè il problema è insito nel modo in cui il reader comunica con l’utente utilizzante il file maligno.

Nella propria analisi Stevens spiega di aver scoperto il modo di ospitare un file .exe embedded all’interno di un file PDF. Il cuore del problema è nella possibilità di mandare in esecuzione l’exploit senza alcuna segnalazione all’utente o, addirittura, plasmando ad hoc la segnalazione per pilotare le scelte in modo truffaldino. All’apertura del file, insomma, l’utente potrebbe trovarsi una finestrella nella quale si consiglia l’interazione errata, portando pertanto ad acconsentire inconsciamente all’esecuzione del file .exe con tutte le possibili conseguenze del caso.

Stevens porta a supporto della propria tesi un video e tutta una serie di screenshot che dimostrano il problema nei suoi vari passaggi: l’apertura del PDF, il lancio dell’eseguibile, l’interazione da parte dell’utente e la conseguenza finale (che nel caso specifico si ferma ad uno stadio di pericolosità nulla, ma che va immaginato in applicazione su qualsivoglia malware):

Il ricercatore ha deciso di non pubblicare il Proof of Concept relativo alla propria scoperta, ma indica sul proprio blog un file (.zip) con cui provare con mano la veridicità del lancio automatico del .exe: in caso di apertura con Adobe Reader, un avviso suggerisce di porre attenzione al file in apertura; in caso di apertura con Foxit Reader, invece, l’eseguibile dovrebbe essere aperto senza filtro alcuno. Secondo Stevens non v’è modo per prevenire il problema: non si usa JavaScript né si è colpita alcuna vulnerabilità, ma si è soltanto usato «in modo creativo» il codice valido per le specifiche PDF.

La patata bollente è ora nelle mani di Adobe e Foxit, immediatamente allertate dal ricercatore, dalle quali dovrà giungere un qualche sollecito intervento per frenare una tipologia di attacco che potrebbe altrimenti farsi facilmente pericolosa.