* PDF "/Launch" Social Engineering Attack

– Date : 08 Avril 2010

– Plateforme : Windows

– Programme : Adobe Acrobat Reader

– Gravité : Elevée

– Exploitation : Avec un fichier malicieux

– Dommage : Accès au système

– Description :

Dans un billet publié récemment, Adobe propose aux utilisateurs d’Acrobat Reader une solution pour les protéger d’une exploitation de la vulnérabilité révélée par Didier Stevens et présentée dans le bulletin CXA-2010-0387 il y a quelques jours.

Pour rappel, cette faille de sécurité peut être exploitée par un attaquant en menant une campagne de "social engineering" afin de compromettre un système. Pour cela, l’utilisation de la commande PDF /Launch permet d’exécuter un binaire embarqué dans le fichier PDF malicieux.

Pour se protéger de l’utilisation abusive de la norme ISO PDF 32000-1:2008 par des pirates, Adobe recommande aux utilisateurs d’ouvrir la fenêtre de préférence, de cliquer sur la catégorie "Trust Manager" du menu à gauche, et enfin de décocher la case "Allow opening of non-PDF file attachments with external applications".

L’éditeur fourni aussi une solution pour les administrateur en entreprise : ajouter les clés de registre "bAllowOpenFile" et "bSecureOpenFile" contenues dans "HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals" respectivement aux valeurs "0" et "1".

– Vulnérable :

* Adobe Acrobat Reader

– Référence :

http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html

http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0387

– Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4764

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1239

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0427