PDF難解的安全問題

前兩個禮拜，陸續有國外資安研究人員指出PDF根本性的安全問題，並驗證了攻擊手法的可行性。由於這個攻擊手法並不是利用PDF Reader軟體的漏洞，而是利用PDF提供的合法指令，來啟動其他程式，使得這個問題相當棘手。而目前尚無有效防堵這種攻擊的方法，因此我們緊急利用本期封面故事報導這個問題，希望使用者在開啟PDF文件檔時能多加注意。

在3月底時，資安研究員Dider Stevens指出，只要利用PDF檔案的「/Launch」指令，就能讓PDF檔案去啟動其他程式，他表示，再搭配社交工程手法，在PDF檔案開啟時同步跳出一個對話框，欺騙使用者按下對話框中的按鈕，就能夠啟動其他程式。他並且提供了一個示範檔案，證實開啟該PDF檔案之後，使用者一按下對話框的確認按鈕，就會如他所說地執行cmd.exe檔。

緊接著在4月1日，另一位資安研究員Jeremy Conway則再進一步證實此法不僅可發展為攻擊模式，並可藉由惡意的PDF檔案去感染一般正常的PDF檔案。

從Conway錄下來的程式執行過程來看，他準備了兩個PDF檔案，其中一個已經被動過了手腳，另一個則是一般正常的PDF檔。首先，他先開啟正常的PDF檔案，確認了PDF Reader閱讀軟體已經關閉JavaScript功能。（一般會建議關閉JavaScript功能，也是為了避免有心人士利用JavaScript，在背景中下載安裝惡意程式。）接著，他開啟被動了手腳的惡意PDF檔，然後再開啟原本是正常的PDF檔，結果這個檔案一開啟之後，就又跳出了瀏覽器視窗，而且自動連結到一個特定的網站。

Jeremy Conway這個概念驗證指出，透過「/Launch」指令、OpenAction功能以及社交工程手法，他可以利用一個被動了手腳的PDF檔案，去改寫另一個PDF檔案，讓這個檔案被開啟時，自動去呼叫瀏覽器，並連結到一個惡意網站、下載惡意程式。而這一切所利用到的，都是PDF允許的合法指令。

其中，如何讓惡意的PDF檔案去感染正常的PDF檔案，Conway並沒有公布，因此尚無法得知這種感染的做法，是需要先知道被攻擊目標檔案的所在位置，還是它能夠自動搜尋所有的PDF檔案。

不過，就在Conway公布這個手法可行的兩個禮拜之後，就有網友在他的網站上指出，目前已經有人發展出模仿這個手法的套裝工具了。由於這個問題是PDF的根本性問題，除非是完全切除這些指令的功用，不然這種運用合法指令的攻擊手法是最難預防的。因為，它不是軟體漏洞，並非靠軟體廠商修補好漏洞即可，而且整個作法又屬於合法行為，讓資安軟體難以分辨。因此不論是否有人已經發展出成套的攻擊工具，這個問題都非常難處理，需要高度重視。

雖然Adobe在4月13日發布了Adobe Reader新的修補檔，一次補強了好幾個軟體上的安全漏洞，不過都不是針對這個問題。所以，對於企業而言，PDF這個根本性的安全問題仍是一大威脅，因為現今的企業使用PDF檔案的情形很頻繁，因而這樣的攻擊手法能成功的機會很高。

由於目前尚無有效的防堵方法，企業能做的是及早意識到這個問題，並且開始對員工宣導相關的知識，讓他們在開啟PDF檔案時能提高警覺，知道對話框的按鈕所潛在的危險，先透過這樣的預防宣導來降低風險。（請見第26頁）