Hacking con Browser Plugins

Se ha descubierto una vulnerabilidad en la forma en que el plugin de Adobe Acrobat versiones 6.x y 7.x manejan los archivos PDF.
Mediante el envio de cadenas en JavaScript a documentos PDF, es posible realizar ataques XSS contra los sitios web que los alojan.
Lo interesante de esto es que todos los PDF y por ende todos los sitios que los contienen son vulnerables al ataque.

Algunos ejemplos disponibles aquí y aquí. Además puede encontrarse documentación en la web de los descubridores Stefano Di Paola y Giorgio Fedon.

Más información:

• Más información y una posible solución en Kriptopolis
  
• Otra solución semejante
• Primera Implementación dañina y aquí
  
• Y si queremos lo podemos hacer localmente
  
• Adobe Acrobat Reader Plugin - Multiple Vulnerabilities [Aviso original de los descubridores].
• Subverting AJAX [Trabajo presentado en CCC, paradójicamente disponible en pdf].
• Danger, danger, danger [GNUCitizen]
• Hacking with Browser Plugins [Sven Vetsch dando la voz de alarma. Detalles y algunos ejemplos].
• Acrobat Reader plug-in vulnerable to attacks [ComputerWorld]
• Universal XSS in PDFs [Ha.ckers.org]
• PDF XSS vulnerability announced at CCC [SANS Institute]
• Universal XSS with PDF files: highly dangerous [SecurityFocus]
• When PDFs Attack! [Symantec]
• Adobe Reader Cross-Site Scripting Vulnerability [Secunia]
  
• Blog de Panda

Algunas pruebas realizadas en Windows con distintos navegadores y Plugins.

1. Con IE en Adobe Acrobar 6.0 antes del "parche" funciona.
http://img293.imageshack.us/img293/2220/1km5.jpg

2. Con FF 2.0 en Adobe Acrobar 6.0 antes del "parche" funciona.
http://img526.imageshack.us/img526/7553/2gb6.jpg

3. Con otro plugin (Foxit) antes del "parche" NO funciona.
http://img293.imageshack.us/img293/1849/3wf9.jpg

4. Con IE y Adobe Acrobat luego del "parche" NO funciona.
http://img506.imageshack.us/img506/5227/4rj8.jpg

5. Con FF y Adobe Acrobat luego del "parche" NO funciona.
http://img506.imageshack.us/img506/3070/5vs2.jpg

Actualización y Solución del lado del Servidor

La solución en el lado del servidor es para Apache. Si alguien tiene la solucion para IIS por favor informarme.

Para empezar hay que indicar que es necesario tener cargados los módulos del header y del setenvif. El header no suele venir por defecto.

Podemos agregar esto en httpd.conf o en el .htaccess el siguiente código:

SetEnvIf Request_URI "\.pdf$" requested_pdf=pdf
Header add Content-Disposition "Attachment" env=requested_pdf

Bajo Windows, Apache 1.3 no funciona al intentar usar una variable env en la directiva Header. La directiva deny y funciona perfectamente.

En Linux con Apache 2 la directiva acepta perfectamente la variable env.

Otra posible solución es proteger los archivos PDF frente a enlaces externos a nuestra web (hotlinking).

Dentro del archivo .htacces agregamos el siguiente código:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://([-a-z0-9]+\.)?example\.com[NC]
RewriteRule .*\.(pdf)$ http://www.example.com/images/noexternal.gif [R,NC,L]

Si se intenta abrir un archivo PDF enlazado desde otro sitio web, nuestro servidor lo redirije a una imagen que le avisa que no podrá acceder a ese archivo de forma externa al servidor, lo que comunmente se llama hotlinking.

Además hay novedades de Leonard Rosenthol desde Adobe:

* Esta vulnerabilidad sólo afecta a la plataforma Windows. Los usuarios de Mac, Linux, etc. no están afectados.
* Encontramos esta vulnerabilidad nosotros mismos durante unas pruebas internas de seguridad testeando Acrobat, y hemos arreglado la vulnerabilidad en Acrobat Reader 8 para Windows. Por ello los usuarios de Acrobat Reader 8 (independientemente del navegador), no están afectados.
* Tenemos ya parches preparados para las versiones anteriores de Acrobat y las liberaremos tan pronto como esten listas para aplicarse. Esto será una solución para aquellos usuarios que por la causa que sea, no puedan actualizarse a Acrobat Reader 8.

Fuente: http://www.kriptopolis.org/ataque-pdf-todos-vulnerables