Wednesday, April 7, 2010

Escape From PDF modified by Zemana

PDF security specialist Didier Stevens of Belgium discovered a functionality defined in the PDF specification, which is launch a command and run an executable within a PDF file without JavaScript.

We modified Didier Stevens's PDF /Launch PoC in order to demonstrate that it is possible to make a PDF to download and execute a malware. Watch the video!

Foxit Reader users please not that it issues no warning when launching a command!

Really there's some crazy stuff in the PDF specification




4 comments:

  1. Nedir insanların bu adobe uygulamalarından çektiği :)

    Hakkaten adobe sanki hackerlara çalışıyor gibi bir imaj oluşmaya başladı...

    .hta da ayrı bir dert zaten. Hala bazı exploit kitlerde kullanılıyor.

    Bu gün biraz araştırdım, şu an en popüler exploit kitler zeus ve eleonore exploit pack.
    Rootkitiyle alakası var mı bilmiyorum ama Rustocunda trojanını yapmışlar.
    Birçok bloggercunun bloğunda da koobface wormu var.
    Pdf ve flash açıklarını sömüren sitelerle hat safada.

    Türk bir TV kanalının sitesinde de popüler bir exploit kiti var. Artık ne amaçla kullanıyorlarsa.

    ReplyDelete
  2. Sana katiliyorum, PDF formatinin nerdeyse bir yemek pisiremedigi kaliyor. Kimsenin bu sacma ozellikleride kullandigini sanmiyorum zaten bu denli ozellik isteyenler PowerPoint vs kullaniyorlar. Bu biraz MS wmf formatinda bulunan ozelligi (MS06-001) hatirlatti. Hatirlarsanin Microsoft yamada gec kalinca IDA'nin dehasi Guilfanov bir patch yapmisti :) bence swf,pdf,wmf gibi formatlar calistirilabilir dosya katagorisine alinsa daha iyi olacak :)

    ReplyDelete
  3. Hatırladım sanırım. Dediğiniz gibi MS yamada geç kalınca bu patch güvenli geçici çözüm olarak önerilmişti sec.sitelerde.

    Böyle bir yarışma olsa güzel olur aslında. Bug patching... Hemen katılırım :)

    ReplyDelete
  4. bu exploit foxit reader uygulanır mı?

    ReplyDelete