Το WinRT PDF, η προεπιλεγμένη συσκευή ανάγνωσης PDF για τα Windows 10, θέτει σε κίνδυνο τους χρήστες του Edge σε μια νέα σειρά επιθέσεων που είναι απίστευτα παρόμοια με το πώς τα Flash, Java και Acrobat εξέθεσαν τους χρήστες του διαδικτύου τα τελευταία χρόνια.
Η Windows Runtime (WinRT) PDF Renderer βιβλιοθήκη ή απλά WinRT PDF, είναι ένα ισχυρό συστατικό ενσωματωμένο σε πρόσφατες εκδόσεις του λειτουργικού συστήματος των Windows που επιτρέπει στους προγραμματιστές να ενσωματώσουν εύκολα ένα χαρακτηριστικό προβολής PDF στις εφαρμογές τους.
Η βιβλιοθήκη χρησιμοποιείται σε πολλές εφαρμογές που διανέμονται μέσω του Windows Store. Η προεπιλεγμένη Reader εφαρμογή περιλαμβάνεται στα Windows 8 και 8.1 και ακόμη και στον Edge, τον τελευταίο Web browser της Microsoft.
Ο Mark Vincent Yason, ερευνητής ασφαλείας στην ομάδα X-Force Advanced Research της IBM, ανακάλυψε ότι το WinRT PDF μπορεί να αξιοποιηθεί σε επιθέσεις drive-by με τον ίδιο τρόπο που οι επιτιθέμενοι χρησιμοποιούσαν για τα Flash ή Java στο παρελθόν.
Από την στιγμή που το WinRT PDF είναι ο προεπιλεγμένος PDF reader του Edge, κάθε αρχείο PDF ενσωματωμένο μέσα σε μια ιστοσελίδα θα ανοίγει μέσα στη βιβλιοθήκη. Ένας έξυπνος εισβολέας μπορεί να περιέχει μια WinRT PDF εκμετάλλευση στο PDF αρχείο του, το οποίο θα μπορούσε να ανοίξει κρυφά, χρησιμοποιώντας ένα iframe τοποθετημένο έξω από την οθόνη με CSS.
Το γκρι τετράγωνο αντιπροσωπεύει ένα κακόβουλο αρχείο PDF που θα μπορούσε να φέρει μια WinRT PDF exploit
Ο κακόβουλος κώδικας θα εκτελούνταν και θα αξιοποιούσε την WinRT PDF ευπάθεια κατά τον ίδιο τρόπο που τα exploit kits, όπως τα Angler ή Neutrino εκμεταλλεύονταν τα Flash, Java ή Silverlight payloads.
Το μόνο που χρειάζεται ένας εισβολέας να κάνει είναι να βρει και να δημιουργήσει μια βάση δεδομένων των WinRT ευπαθειών που θα μπορούσε να τον βοηθήσει για τη διανομή malware του.
«Ένας σημαντικός παράγοντας που θα επηρεάσει το πότε και πόσο συχνά βλέπουμε exploits για WinRT PDF ευπάθειες εξαρτάται από το πόσο δύσκολο είναι κανείς να τις εκμεταλλευτεί», εξηγεί ο κύριος Yason.
Λέει ότι επειδή τα Windows 10 εφαρμόζουν κάποια παλιά EMET χαρακτηριστικά, όπως η προστασία ASLR και το Control Flow Guard, «κάνουν την ανάπτυξη των exploits για WinRT PDF ευπάθειες χρονοβόρα και επομένως δαπανηρή για έναν εισβολέα.» Ο κύριος Yason θα παρουσιάσει μια πιο εμπεριστατωμένη παρουσίαση αυτού του σεναρίου επίθεσης στο φετινό συνέδριο της RSA Security στο Σαν Φρανσίσκο.
πηγη
Κάντε like στη σελίδα μας στο facebook και ενημερωθείτε για ό,τι νέο.
