"0-day" PDF : 2 vulnérabilités combinées pour une compromission immédiate
Par Fabien PERIGAUD, mercredi 17 octobre 2007 à 14:51 :: General :: #188 :: rss
Il y a quelques temps déjà , le chercheur en sécurité pdp de gnucitizen avait annoncé avoir découvert une vulnérabilité permettant l'exécution de code arbitraire à l'aide d'un fichier PDF malicieux 
(Réf. Lexsi 9077).
La publication d'une preuve de concept dans la journée d'hier a permis de faire le lien entre cette vulnérabilité et une faille plus générique concernant la gestion des URI par Windows, lorsque le navigateur Internet Explorer 7 est installé. Par le biais d'une URI spécialement formée, il est ainsi possible d'exécuter une commande arbitraire sur un système vulnérable.
Il est du coup difficile d'incriminer l'un ou l'autre des éditeurs, chacun pouvant à sa façon corriger cette vulnérabilité, Adobe en vérifiant l'URI avant de la passer à Windows, et Microsoft en vérifiant l'URI qui lui est fournie avant de lancer une commande ShellExecute(). La vulnérabilité ne touchant pas seulement les produits Adobe, Microsoft a annoncé qu'un correctif serait publié. Adobe de son côté, s'est pour le moment contenté d'une solution de contournement consistant à modifier une valeur du registre.
On aurait pu en rester là , et se contenter de ne plus ouvrir de fichiers PDF non sûrs avec les produits Adobe en attendant le correctif, mais un autre chercheur a eu la bonne idée d'utiliser une vulnérabilité publiée récemment et concernant Internet Explorer (en fait une variante de la vulnérabilité Réf. Lexsi 4734 datant de trois ans !), permettant le téléchargement automatique d'un document sur le disque dur d'une victime, en l'incitant à suivre un lien spécialement formé (Réf. Lexsi 9172). En y effectuant quelques modifications, il est possible de lancer automatiquement le téléchargement mais surtout l'ouverture d'un fichier PDF arbitraire à l'aide d'un simple clic sur un lien.
La combinaison de ces deux vulnérabilités permet donc l'exécution de commandes arbitraires en incitant une victime à cliquer sur un simple lien, à condition que celle-ci utilise Internet Explorer 7, ainsi qu'Adobe Acrobat ou Reader. La seule solution à ce problème aujourd'hui est d'appliquer la solution de contournement d'Adobe, consistant à modifier une valeur du registre, ce qui ne sera malheureusement mis en oeuvre que par quelques utilisateurs non-lambda soucieux de leur sécurité.
On peut donc raisonnablement s'attendre à une campagne de spam contenant des liens apparemment sans danger mais redirigeant l'utilisateur vers une page web malicieuse qui chargera automatiquement le lien permettant la compromission, ou encore un simple PDF en pièce jointe du courriel dont la simple ouverture volontaire permettra d'obtenir la même conséquence (sous réserve bien sur d'avoir Adode Reader et Internet Explorer 7 installés sur le système).
Enfin, il faut envisager que cette nouvelle technique soit utilisée par des sites de type "drive-by download".