如何應對此起彼伏的PDF漏洞利用
2010年早期,PDF漏洞利用還是最常見的惡意軟件伎倆之一。年中時,漏洞利用的頭把交椅被Java漏洞占據。盡管這樣,PDF仍是極受“歡迎”的攻擊目標。對于運行PDF軟件(Adobe Reader及其商業版本Acrobat)的企業來說,這些攻擊導致了幾乎無止境的軟件更新。為什么惡意軟件的作者喜歡利用PDF漏洞?如何使自己避免成為其受害者?
原因分析
1、低垂的果實:PDF的漏洞利用如此猖狂的一個原因在于Adobe Reader的應用非常普遍。由于數據執行預防(DEP)和地址空間布局隨機化(ASLR)等強化技術已經進入了Windows領域,這使得操作系統的漏洞利用不再那么有吸引力。惡意軟件的編寫者需要更肥沃的土壤,而PDF由于應用廣泛而受到關注。幾乎每臺電腦都要安裝PDF閱讀器,這成為惡意軟件作者最喜愛的樂土之一。
2、“簡捷的”漏洞利用:事實上,可以利用PDF漏洞的惡意軟件工具是很容易得到的,幾乎不需要什么努力或費用就可以得到這種工具。如LuckySploit、 CrimePack、 Fragus等惡意工具,在國內外不少網站上可以買到或下載。如今,多數新的惡意軟件工具套件包括Adobe Flash、 Java、基于PDF的漏洞利用等。這些套件可以輕松地利用Adobe Reader的一些著名漏洞,實施自動化攻擊。
3、巨大的攻擊面:PDF是一種工業標準的便攜式文檔格式,許多免費和商業軟件都支持此格式。而Adobe Reader和Acrobat產品是其中的寵兒。這使得PDF成為文檔交換的一種“統一語言”,但同時也意味著一種巨大的攻擊面,Adobe和反惡意軟件廠商在防御過程中困難重重。例如,Adobe Reader支持嵌入式Javascript對象,因而惡意軟件作者又可以展開新的攻擊。
有些用戶仍然運行著Adobe Reader 8.0或更低的版本,認為自己的軟件支持自動更新并安裝了所有的可用補丁。但用戶應當遷移到Reader X,這樣就可以成功避免針對老版本的漏洞利用。
4、斗爭遠沒有結束:去年,Adobe采取了許多措施來減少PDF漏洞利用。除了自動更新,Adobe還開發了一種Adobe Reader受保護模式。這是一種沙箱技術,可以在其中打開并顯示PDF文檔,限制惡意軟件對其它應用程序的調用,并運用策略來決定自動準許或阻止行動。不幸的是,用戶往往會單擊“確定”,從而使這些保護失效。雖然用戶現在也許認識到,PDF可用于實現釣魚,許多人仍然不認為PDF會成為惡意軟件的溫床。攻擊者們繼續搜索新的漏洞,或新的方法來逃避檢測。例如,ROP和竊取數字證書在PDF漏洞利用中就扮演過角色。
管理員們可能知道如何通過掃描和過濾來監視其它的攻擊形式,但減少PDF的漏洞利用卻有不少困難。幾乎沒有哪家企業愿意簡單地阻止PDF附件及其下載,合法的PDF極其普遍,并在商業慣例中根深蒂固。然而,雇員們仍可以采取措施防御已知的漏洞利用。
應對刻不容緩
你首先需要將每個桌面的Adobe Reader或Acrobat升級到最新的版本,并啟用自動更新,還要進行安全配置,例如,禁用Javascript,如下圖所示:
禁用Javascript
企業還可以考慮使用其它的PDF閱讀器,這樣做也許可以減少攻擊面,要考慮自由軟件閱讀器的合法性、安全性、互用性。企業必須監視PDF閱讀器的漏洞,要確保根據優先級別及時應用補丁,例如,一個月檢查一次,從時間上講就顯得太長。
最后,要教育經理主管人員和其它員工,并告知他們常常是釣魚攻擊的目標,以及PDF可能導致的風險。
【編輯推薦】
