Comment les cybercriminels endommagent les fichiers PDF



Salut,

Un article que je relaie pour mes collègues de Programmez.com. Cela vous donnera un aperçu de leur newsletter et de la revue mensuelle qu’ils commercialisent pour les développeurs.

Aujourd’hui, il s’agit d’un article concernant les fichiers Portable Document Format communément appelés PDF d’Adobe Systems.300x250_Decouverte_Cloud_Comput

Ce format interactif dans lequel on peut insérer des champs de formulaire, des menus déroulants. Ce format est exploité par de nombreux logiciels et utilisé couramment par bon nombre de sociétés, administrations et particuliers pour l’échange d’informations.

Bien que ces fichiers soient personnalisables au niveau de la sécurité (interdiction d’impression, de modification…), il n’en demeure pas moins que les cybercriminels ont trouvé le moyen de les rendre dangereux en leur incorporant du code malveillant.

Voici l’article consultable sur le site de www.programmez.com (http://www.programmez.com/actualites.php?id_actu=9521&xtor=EPR-144 ) :

Selon le laboratoire de recherches Avast!, les cybercriminels utilisent désormais des filtres d’images pour encoder et intégrer des logiciels malveillants dans les fichiers Adobe PDF. Explications :

Cette nouvelle astuce consiste à utiliser le filtre JBIG2Decode spécialement conçu pour encoder les images monochromes, qui permet au fichier malveillant de se glisser dans un fichier PDF et de passer inaperçu aux yeux des scanners antivirus. Le contenu encodé est le célèbre CVE-2010-0188, une faille utilisant le format TIFF dans Adobe Reader.

«L’algorithme JBIG2 est ici impliqué parce que toutes les données – texte ou binaire – peuvent être déclarées comme une image monochrome en deux dimensions », explique Jiri Sejtko, analyste des virus chez avast! « Qui aurait cru que l‘algorithme d’une image pure pouvait être utilisé comme un filtre standard sur n’importe quel objet stream ? Nous n’avions pas prévu un tel comportement. »

clip_image001

La définition de l’objet stream référencé à partir du tableau XFA montre que celui-ci ne comporte pas les données d’une image et qu’il pèse 3 125 octets. Deux filtres – FlateDecode et JBIG2Decode – doivent être utilisés pour décoder les données d’origine.

« Cette nouvelle astuce de la part des cybercriminels a pour le moment essentiellement été utilisée dans le cadre d’une attaque ciblée et relativement peu pour des attaques plus générales. C’est sans doute pourquoi personne d’autre n’est capable de le détecter », ajoute Jeri Sejtko.

Cette faille est corrigée dans les nouvelles versions du logiciel Adobe Reader, seules les anciennes versions du logiciel sont concernées. « Voila pourquoi il est important de régulièrement mettre à jour Abode Reader », déclare Jeri Sejtko.

Bonne journée.
Patrice.

Comments are closed.

(c) 2014 - Patrice A. BONNEFOY - Microsoft MVP Windows Expert IT-Pro since 2005.