Keynote SSTIC 2009 – Origami malicieux en PDF

Présentation : Fred RAYNAL
Guillaume DELUGRE
Damien AUMAITRE

Quelques idées reçues sur le PDF:
Format ouvert et documenté
Format statique (donc secure)

En fait, c’est un langage descriptif, et dynamique, tout est objet dans le format. Il est possible de réaliser plusieurs types d’action dont : Goto, submit, videos, sons, 3d, javascript, etc…

La diffusion de virus est alors possible, à l’aide de pdf malicieux (sans exploitation de vulnérabilités), avec parfois un peu de social engineering (validation d’une fausse mise à jour, qui est en fait un virus).

Une fois le pdf malicieux « exécuté », tous les autres documents signés de la même manière (système de signatures et confiance intégré à Adobe) pourront effectuer n’importe quelle action sans interaction de l’utilisateur, c’est un défaut majeur du système.

Le moteur Javascript intégré à Adobe est peu documenté, mais permet de faire pas mal de choses.
Il est possible par exemple de faire un pdf malicieux, qui lancerait des attaques locales/réseau, de manière invisible pour les utilisateurs, comme le ferait un code Javascript malicieux dans un navigateur (XSS like).

Le PDF est donc un vecteur d’attaque très important, sans parler des failles du logiciel lui-même (plutôt le contournement de fonctionnalités proposées).