Disabilitare l’apertura di allegati in Adobe Reader con Group Policy
Dieder Stevens, whitehat molto noto per le sue ricerche inerenti alla sicurezza del formato PDF, ha pubblicato in questi giorni sul suo blog un breve articolo nel quale dimostra come sia possibile allegare file di tipo eseguibile ad un normale documento PDF e, con un pizzico di social-engineering, come indurre un utente ad acconsentirne l'esecuzione.
Non è difficile immaginare come una informazione di questo tipo possa essere trasformata rapidamente in nuovi attacchi basati su phishing.
La dimostrazione di Dieder Stevens non sfrutta nessuna particolare vulnerabilità ma bensì una funzionalità comune ad alcuni lettori PDF tra i quali troviamo anche il diffusissimo Adobe Reader, per questo motivo risulta difficile pensare che il problema venga risolto a breve ed in attesa di soluzioni "ufficiali" si rende necessario ed urgente intervenire in qualche modo al fine ridurre il rischio di compromissione dei sistemi operativi client.
Di seguito un video dimostrativo dell'attacco
Il sito sudosecure.net ha pubblicato inoltre un proof-of-concept di worm che si replica sfruttando il metodo appena dimostrato, ecco il video
Per proteggersi è sufficiente disabilitare l'opzione "Consenti l'apertura di file allegati diversi da PDF con applicazioni esterne" nella sezione "Gestore affidabilità" delle preferenze di Adobe Reader.
Come per l'articolo Disabilitare il supporto Javascript in Adobe Reader tramite Group Policy vi propongo un semplice template amministativo (ADM e ADMX) per Adobe Reader versione 8.X e 9.X con il quale potrete gestire tale preferenza in maniera centralizzata tramite Group Policy.
Scaricate il template da qui:
- versione “ADM” per GPMC di Windows XP/2003: Adobe_PDF_attachments.adm
- versione “ADMX” con ADML in Inglese ed Italiano per GPMC Windows Vista/7/2008: Adobe_PDF_attachments_en-US_it-IT.zip
Per proteggere i client e quindi disabilitare l'apertura di file allegati diversi da PDF vi basterà aggiungere il template amministrativo ad un nuovo oggetto Group Policy ed abilitare la rispettiva policy che trovate nella sezione:
User Configuration\Administrative Templates\Adobe Reader
Per ripristinare i valori di configurazione predefiniti e quindi abilitare l'apertura di file allegati diversi da PDF sarà sufficiente disabilitare la policy.
Non ci sono altre particolari configurazioni da fare.
Print This • Email this • Twit This! • Add to del.icio.us • Share on Facebook • Digg This! • Stumble It! • AddThis! • Share on Segnalo Alice • Share on OKNotizie