Найден способ взломать сайты через библиотеку создания PDF-документов

Опубликовано at 12:42
132 0

Эксперты по кибербезопасности обнаружили, что уязвимость в популярном генераторе PDF-документов, а именно  баг в библиотеке TCPDF, может использоваться для выполнения кода и перехвата контроля над сайтами.

Данную уязвимость, с помощью которой злоумышленники могут выполнить произвольный код и скомпрометировать сайты, назвали критической. Речь идет о PHP-библиотеке TCPDF, которая наряду с инструментами mPDF и FPDF является одним из наиболее популярных средств для преобразования HTML кода в PDF-файлы.

Уязвимость (CVE-2018-17057) на минувших выходных описал исследователь безопасности, использующий псевдоним Polict. Баг связан с PHP-сериализацией и может быть проэксплуатирован двумя способами: либо на использующих TCPDF web-сайтах, разрешающих добавление пользовательских данных в процессе генерации PDF-файла (имен и другой информации), либо также на ресурсах, содержащих XSS-уязвимости, где атакующий может вставить вредоносный код в код HTML.

Следует отметить, что метод эксплуатации уязвимости непростой: основной нюанс заключается во внедрении вредоносных данных в библиотеку TCPDF. Для этого атакующему потребуется заставить библиотеку запросить оболочку «phar://», а затем проэксплуатировать процесс десериализации для запуска кода на сервере.

Polict проинформировал разработчиков TCPDF о проблеме в августе прошлого года. Уже в следующем месяце команда выпустила исправленную версию продукта — TCPDF 6.2.20. Однако в новой версии разработчики случайно повторили ошибку, в итоге обе проблемы были устранены только в релизе TCPDF 6.2.22, который и рекомендуется скачать.

Читайте также на АКБ:

…Эксперты по кибербезопасности из Cisco Talos нашли еще одну уязвимость в Adobe Acrobat Reader DC, которая позволяет хакеру удаленно выполнить произвольный код и получить контроль над компьютером пользователя. Ранее нашли еще три.

Суть уязвимости в версии версия Adobe Acrobat Reader 2018.011.20038 заключается в возможности выполнения специфичного JavaScript-кода, который злоумышленник внедрил в PDF-документ. Такое выполнение ведет к подмене типов объектов при открытии документа, то есть может быть открыт исполняемый файл.

…Эксперты по кибербезопасности из компании EdgeSpot обнаружили ранее не описанную уязвимость нулевого дня в браузере Chrome. Патча для проблемы пока не существует, и специалисты в качестве элементарной защитной меры рекомендуют пользователям временно не открывать файлы PDF в браузере.

Дело в том, что файлы Acrobat Reader, которые вы открываете в Chrome, могут связываться с удаленным доменом и передавать третьим сторонам различные данные о пользовательском устройстве (IP-адрес, версию ОС, версию Chrome, путь к файлу PDF на машине пользователя). И эксперты обнаружили уже, как минимум, два набора вредоносных файлов PDF, эксплуатирующих эту уязвимость.

…Для Microsoft Windows нашли сразу две новые уязвимости критической важности, одна из них позволяет удаленно взломать компьютер через PDF-документ, другая — уронить систему в «синий экран смерти» (BSOD).

Специалист по кибербезопасности компании Check Point Ассаф Бахарав заявил, что нашел уязвимости в стандарте PDF, позволяющие выкрасть учетные данные Windows. Эта брешь дает возможность получить хеши NTLM (протокола аутентификации), которые хранят данные для доступа к машине. Таким образом, можно создать PDF-документ, в котором заложены функции Go To Remote и Go To Embedded (удаленный доступ и внешние вставки). При открытии такого файла документ самостоятельно отправляет запрос на удаленный SMB-сервер.

Подписываемся, следим @CyberAgency

Related Post

Для транспортного коллапса Манхеттена нужно взломать всего 10% смарткаров

Опубликовано - 15.03.2019 0
Исследователи Технологического института Джорджии (США) разработали модель для прогнозирования возможных вариантов развития событий на дорогах города в случае взлома машин…

Зачем индийским хакерам понадобилось оставлять следы

Опубликовано - 26.12.2017 0
Официальный сайт полиции Пакистана был взломан предположительно индийскими хакерами. После принятия оперативных мер, сайт вскоре был реабилитирован. Согласно сообщениям в…

Просто конь, проходите мимо: обновленный троян Dridex невидим для антивирусов

Опубликовано - 28.06.2019 0
Новый вариант банковского трояна Dridex сумел удивить экспертов: вредоносное ПО обзавелось возможностью избегать детектирования традиционными антивирусными продуктами. Троян Dridex специализируется…

Добавить комментарий