PDF安全拉警報

看了上一期封面故事對於PDF安全性的報導，你對同仁宣導PDF的安全問題嗎？你已經為公司電腦的PDF Reader閱讀軟體調整設定嗎？如果還沒有的話，那麼得趕快去修改設定了，因為資安軟體公司近日已經發現利用這種手法的攻擊事件。

資安廠商M86 Security與Websense相繼發現駭客偽裝成英國皇家郵政，透過電子郵件寄發郵件通知書，並且在這個電子郵件裏夾帶一個名為「Royal_Mail_Delivery_Notice」的PDF檔，誘使電腦使用者，開啟這個其實已經被駭客動了手腳的PDF檔案。

駭客所使用的手法，正是上一期我們所報導的PDF合法指令──「/Launch」。這個指令讓PDF閱讀器可以依照文件檔的要求，執行JavaScript或開啟其他應用程式。

一旦有人開啟了這個被駭客動了手腳的PDF檔，它就會去執行JavaScript，PDF閱讀軟體這個時候會跳出警告視窗，詢問使用者是否允許執行第三方程式，如果使用者這個時候還沒有警覺，那麼在按下確定執行之後，隱藏的JavaScript就會外連駭客指定的網站，下載知名僵屍程式Zeus的變種蠕蟲。如果使用者的電腦防護不全，就會因而被植入惡意程式了。

成功驗證「/Launch」可發展成有效攻擊模式的資安研究員Jeremy Conway，也在他的部落格上分析這個攻擊手法，他指出，現在看來這個攻擊手法還不算高明，撰寫這個攻擊程式的人算不上高手，因為他並沒有充分運用「/Launch」與JavaScript，在PDF閱讀軟體跳出的警告視窗中，使用者會清楚看到一連串複雜的檔案路徑，所以只要使用者稍有警覺，就會發現這個檔案不太對勁，進而點選執行的機率就會比較低。

再者，這個攻擊手法是利用JavaScript來執行，所以Jeremy Conway認為只要關閉PDF閱讀軟體的JavaScript功能，就能夠防堵這次的攻擊事件。

先前Jeremy Conway發展出來的高段手法，則是能夠藉由一個惡意的PDF檔案去感染其他的PDF，而且他不是利用JavaScript，而是以/Launch指令去呼叫其他應用程式，因此即便PDF閱讀軟體關閉了執行JavaScript的功能，也無法防堵他所示範的這種攻擊手法。

基於安全考量，Jeremy Conway只示範了高段攻擊手法的可行性，以證實PDF的安全問題需要重視。雖然現在出現的攻擊手法與他所使用的高段手法，還差得遠，而且他也沒有說出是如何辦到的，但是他認為，這次的事件只是PDF安全問題的開端而已，因為假以時日駭客一定會找到更有效率、更具殺傷力的作法。

這次攻擊事件發生之後，多家資安公司的網路威脅監控中心都發現Zeus又再度活躍了起來，足以見得，即便目前駭客使用的手法粗糙，但夾帶著社交工程手法，以及利用使用者對於PDF閱讀軟體毫無戒心，再簡陋的手法都還是具有一定的殺傷力。

所以在Adobe還無法針對此問題提出有效解法的當下，資訊部門應該要趕緊關閉PDF閱讀軟體的JavaScript功能、限制PDF閱讀軟體開啟其他應用程式，並且教育使用者相關知識，讓他們意識到PDF檔案也可能會帶來安全威脅，藉由提高警覺，或可防堵目前的攻擊手法。