FoxitReader

alt text

“La meilleure défense, c’est l’attaque” Napoléon Bonaparte

Non la vocation de cet article n’est pas belliqueuse !

Au sein du mastère “Attaque et défense des systèmes informatiques” nous apprenons à attaquer des environnements pour appréhender les stratégies et mécanismes de défense adaptées.

Ce partage est issu d’un des projets et s’inscrit dans cette même philosophie pour contribuer à la sensibilisation.

On plante le décor

Une victime : une Entreprise, un particulier …

Peu importe, juste un utilisateur qui clique un peu trop vite !

Juin 2018, un vecteur d’attaque : le logiciel Foxit Reader (un lecteur de document PDF alternatif à Acrobat READER).

Un dessein maléfique : exécuter la calculatrice !!!

A la recherche d’une vulnérabilité

Faisons simple : piochons dans l’annuaire public des vulnérabilités (appelées CVE)

Et retenons celle-ci : https://nvd.nist.gov/vuln/detail/CVE-2018-9958

alt text

C’est un PDF ? Je ne risque rien !

Un document bureautique même sans macro peut permettre l’exécution d’une charge malveillante, le principe est de détourner l’application de son usage premier afin qu’elle collabore à l’attaque…

C’est si simple ?

Pas vraiment …

Les conditions d’exploitation d’une vulnérabilité peuvent dépendre d’un nombre de paramètres conséquents.

En particulier, il peut être nécessaire de cascader plusieurs vulnérabilités (qui doivent être compatibles) et c’est le cas pour notre attaque …

Mais que font les développeurs ?

Sous le prisme du système d’exploitation (Windows, Linux) régulièrement le niveau de sécurité est relevé pour rendre l’exploitation des vulnérabilités toujours plus complexe.

Concrètement, c’est pour cela qu’il est nécessaire de combiner deux vulnérabilités dans notre exemple (quelques années en arrière une seule vulnérabilité aurait été suffisante …).

Le film

  1. Le malveillant envoi un mail intriguant à sa victime avec en pièce jointe le document PDF confectionné sur mesure
  2. La victime ouvre le mail puis sa pièce jointe
  3. Le PDF détourne Foxit Reader à son ouverture pour aller télécharger la vilaine calculatrice sur le site redteams.fr
  4. La calculatrice est exécutée, Foxit Reader est fermé. L’objectif est atteint !

Après le spoiler : la démo !

alt text