2010年早期,PDF漏洞利用还是最常见的恶意软件伎俩之一。年中时,漏洞利用的头把交椅被Java漏洞占据。尽管这样,PDF仍是极受“欢迎”的攻击目标。对于运行PDF软件(Adobe Reader及其商业版本Acrobat)的企业来说,这些攻击导致了几乎无止境的软件更新。为什么恶意软件的作者喜欢利用PDF漏洞?如何使自己避免成为其受害者?
原因分析
1、低垂的果实:PDF的漏洞利用如此猖狂的一个原因在于Adobe Reader的应用非常普遍。由于数据执行预防(DEP)和地址空间布局随机化(ASLR)等强化技术已经进入了Windows领域,这使得操作系统的漏洞利用不再那么有吸引力。恶意软件的编写者需要更肥沃的土壤,而PDF由于应用广泛而受到关注。几乎每台电脑都要安装PDF阅读器,这成为恶意软件作者最喜爱的乐土之一。
2、“简捷的”漏洞利用:事实上,可以利用PDF漏洞的恶意软件工具是很容易得到的,几乎不需要什么努力或费用就可以得到这种工具。如LuckySploit、 CrimePack、 Fragus等恶意工具,在国内外不少网站上可以买到或下载。如今,多数新的恶意软件工具套件包括Adobe Flash、 Java、基于PDF的漏洞利用等。这些套件可以轻松地利用Adobe Reader的一些著名漏洞,实施自动化攻击。
3、巨大的攻击面:PDF是一种工业标准的便携式文档格式,许多免费和商业软件都支持此格式。而Adobe Reader和Acrobat产品是其中的宠儿。这使得PDF成为文档交换的一种“统一语言”,但同时也意味着一种巨大的攻击面,Adobe和反恶意软件厂商在防御过程中困难重重。例如,Adobe Reader支持嵌入式Javascript对象,因而恶意软件作者又可以展开新的攻击。
有些用户仍然运行着Adobe Reader 8.0或更低的版本,认为自己的软件支持自动更新并安装了所有的可用补丁。但用户应当迁移到Reader X,这样就可以成功避免针对老版本的漏洞利用。
4、斗争远没有结束:去年,Adobe采取了许多措施来减少PDF漏洞利用。除了自动更新,Adobe还开发了一种Adobe Reader受保护模式。这是一种沙箱技术,可以在其中打开并显示PDF文档,限制恶意软件对其它应用程序的调用,并运用策略来决定自动准许或阻止行动。不幸的是,用户往往会单击“确定”,从而使这些保护失效。虽然用户现在也许认识到,PDF可用于实现钓鱼,许多人仍然不认为PDF会成为恶意软件的温床。攻击者们继续搜索新的漏洞,或新的方法来逃避检测。例如,ROP和窃取数字证书在PDF漏洞利用中就扮演过角色。
管理员们可能知道如何通过扫描和过滤来监视其它的攻击形式,但减少PDF的漏洞利用却有不少困难。几乎没有哪家企业愿意简单地阻止PDF附件及其下载,合法的PDF极其普遍,并在商业惯例中根深蒂固。然而,雇员们仍可以采取措施防御已知的漏洞利用。
应对刻不容缓
你首先需要将每个桌面的Adobe Reader或Acrobat升级到最新的版本,并启用自动更新,还要进行安全配置,例如,禁用Javascript,如下图所示:
禁用Javascript
企业还可以考虑使用其它的PDF阅读器,这样做也许可以减少攻击面,要考虑自由软件阅读器的合法性、安全性、互用性。企业必须监视PDF阅读器的漏洞,要确保根据优先级别及时应用补丁,例如,一个月检查一次,从时间上讲就显得太长。
最后,要教育经理主管人员和其它员工,并告知他们常常是钓鱼攻击的目标,以及PDF可能导致的风险。
【编辑推荐】