PDF

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

June 22, 2022 by Eevee

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

PDF menyelundupkan dokumen Microsoft Word untuk menjatuhkan malware Snake Keylogger

May 23, 2022 by Eevee

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

March 18, 2021 by Winnie the Pooh

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

“Shadow Attack” Memungkinkan Penyerang Mengganti Konten dalam PDF yang Ditandatangani Secara Digital

February 24, 2021 by Winnie the Pooh

Para peneliti telah mendemonstrasikan kelas serangan baru yang dapat memungkinkan aktor jahat untuk berpotensi menghindari tindakan balasan yang ada dan merusak perlindungan integritas dokumen PDF yang ditandatangani secara digital.

Disebut “Serangan bayangan” oleh akademisi dari Ruhr-University Bochum, teknik ini menggunakan “fleksibilitas luar biasa yang disediakan oleh spesifikasi PDF sehingga dokumen bayangan tetap memenuhi standar.”

Gambar dari TheHackerNews

Penemuan ini dipresentasikan kemarin di Network and Distributed System Security Symposium (NDSS), dengan 16 dari 29 PDF viewer yang diuji – termasuk Adobe Acrobat, Foxit Reader, Perfect PDF, dan Okular – ditemukan rentan terhadap serangan bayangan.

Untuk melakukan serangan, pelaku kejahatan membuat dokumen PDF dengan dua konten berbeda: satu konten yang diharapkan oleh pihak yang menandatangani dokumen, dan yang lainnya, sepotong konten tersembunyi yang akan ditampilkan setelah PDF ditandatangani.

Dalam dunia analog, serangan tersebut setara dengan sengaja meninggalkan ruang kosong di dokumen kertas dan membuatnya ditandatangani oleh pihak terkait, yang pada akhirnya memungkinkan pihak lawan untuk memasukkan konten sewenang-wenang di ruang tersebut.

Meskipun vendor telah menerapkan langkah-langkah keamanan untuk memperbaiki masalah tersebut, studi baru ini bertujuan untuk memperluas model serangan ini untuk memastikan kemungkinan bahwa musuh dapat memodifikasi konten yang terlihat dari PDF yang ditandatangani secara digital tanpa membatalkan tanda tangannya, dengan asumsi bahwa mereka dapat memanipulasi PDF. sebelum ditandatangani.

Cacatnya – dilacak sebagai CVE-2020-9592 dan CVE-2020-9596 – telah diatasi oleh Adobe dalam pembaruan yang dirilis pada 12 Mei 2020. Per 17 Desember 2020, 11 dari 29 aplikasi PDF yang diuji tetap belum ditambal.

Source : https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

Bagi pengguna Foxit, lakukan patch sekarang !

October 3, 2020 by Winnie the Pooh

Foxit Software, perusahaan perangkat lunak China yang mengembangkan perangkat lunak dan alat Portable Document Format (PDF) yang digunakan untuk membuat, mengedit, menandatangani, dan mengamankan file dan dokumen digital. Telah merilis update kemanan pada beberapa perangkat softwarenya, diantara lain :

Foxit Reader 10.1 and Foxit PhantomPDF 10.1

3D Plugin Beta 10.1.0.37494

Foxit PhantomPDF Mac and Foxit Reader Mac 4.1

Meski Foxit terkena insiden Data Breach pada 30 Agustus lalu, nampaknya Foxit tetap optimis akan perkemnbangan software mereka, seperti yang dikutip adlam website nya:
“Tanggapan yang cepat untuk kerusakan perangkat lunak dan kerentanan keamanan telah, dan akan terus menjadi, prioritas utama bagi semua orang di Foxit Software. Meskipun ancaman adalah fakta, kami bangga mendukung solusi PDF paling canggih di pasar. Berikut adalah informasi tentang beberapa penyempurnaan yang membuat perangkat lunak kami semakin kuat.” < Jadi bagi kalian pemakai aplikasi Foxit, segera lakukan Update di halaman resmi Foxit disini ya !

Kerentanan di PDFium Google Chrome dapat mengakibatkan eksekusi kode jarak jauh

September 18, 2020 by Winnie the Pooh Leave a Comment

Peneliti telah menemukan erentanan dalam fungsi PDFium dari Google Chrome. Kerentanan tersebut dapat dimanfaatkan oleh musuh untuk merusak memori dan berpotensi mengeksekusi kode jarak jauh.

PDFium adalah fitur Google Chrome yang memungkinkan pengguna untuk membuka file PDF di dalam Chrome.

Cisco Talos baru-baru ini menemukan kerentanan yang memungkinkan penyerang mengirim halaman web berbahaya ke pengguna dan kemudian menyebabkan akses memori di luar batas.

Kerentanan ini dilacak sebagai CVE-2020-6513, berada pada cara Google Chrome 83.0.4103.61 menjalankan JavaScript dalam dokumen PDF.

Halaman web yang dibuat secara khusus dapat menyebabkan akses memori di luar batas. Untuk mengaktifkan kerentanan, korban harus mengunjungi halaman web berbahaya atau membuka dokumen PDF berbahaya.

Kerentanan ini telah diperbaiki pada versi Google Chrome terbaru. Pengguna disarankan untuk segera memperbarui aplikasi Google Chrome segera.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Cisco Talos

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

PDF

Cookies Settings