Yazılar

PDF dosyası kullanarak farkettirmeden sisteme sızmak

pdf-dosyasi-kullanarak-farkettirmeden-sisteme-sizmakGeçerli, okunabilir bir PDF dosyası içerisinde siyah beyaz JPEG dosyası kullanarak hedef sisteme sızmak mümkün.

PDF dosyaları ile sisteme sızma tekniği önceden de kullanılıyordu. Fakat bu okunamayan ve geçersiz şekilde oluşturulmuş PDF dosyaları yoluyla yapılıyordu. Antivirus yazılımları ise okunabilir olmayan PDF dosyalarını tespit ederek işaretleyerek karantinaya alabiliyordu.

Şimdi ise durum farklı. Geçerli ve açtığınızda okuyabileceğiniz PDF dosyaları içerisinde hiç hissettirmeden sistemde kod çalıştırılabiliyor. Performansı arttırmak için kullanılan DCTDecode adında bir kütüphane bu zafiyete sebep oluyor. Kullanılan kütüphanenin işlevi JPEG dosyalarının RGB renk yoğunluğunu düşürerek PDF dosyasını okurken sistemi yavaşlatmamak.

Fakat kütüphane aynı şeyi düzgün şekilde siyah beyaz JPEG dosyaları için gerçekleştiremiyor. PDF içindeki siyah beyaz JPEG dosyaları sadece siyah ve beyaz renklerin yoğunluk bilgilerini içeriyor. Araştırmacılar kısa bir scripti encode ederek, siyah beyaz bir JPEG dosyası olarak, en yüksek kaliteyle PDF içerisine yerleştirdi. Bu haliyle PDF dosyasını okuyarak siyah beyaz JPEG’i proses etmeye çalışan DCTDecode yerleştirilen zararlı kodu çalıştırdı.

İşin asıl tehdit kısmı ise bu içerisine zararlı kod yerleştirilmiş PDF dosyalarını Adobe Acrobat Reader’ın açabilmesi. Problemsiz şekilde açılan zararlı kod içeren PDF dosyaları, kurumsal ve kişisel bilgisayarlarda yaygın şekilde kullanılan Adobe Acrobat Reader tarafından okunabiliyor. Dolayısıyla zararlı kod bu yazılımın kullanıldığı sistemlerde sessizce çalıştırılıyor. An itibarı ile Adobe Acrobat Reader 9 versiyonu bu zafiyetten etkileniyor. Diğer versiyonlar için ise bazı küçük değişiklikler yapıldıktan sonra istismar etmek mümkün.