Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


OGL - Sandboxing (Analyse) d'un document PDF (Adobe Acrobat)

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
18.08.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Adobe Reader (Adabe Acrobat Reader) est une usine à gaz affectée, sans cesse, de failles de sécurité. Avant que je n'ouvre un document PDF, est-ce que ce document tente d'exploiter une faille de sécurité d'Adobe Reader ?

OGL - Sandboxing (Analyse) d'un document PDF (Adobe Acrobat)OGL - Sandboxing (Analyse) d'un document PDF (Adobe Acrobat)
OGL - Sandboxing (Analyse) d'un document PDF (Adobe Acrobat)

OGL - Outils Gratuits en Ligne : Sandboxing (Analyse) d'un document PDF (Adobe Acrobat)

Un document PDF est un document utilisant un langage de programmation qui va interagir avec le lecteur de documents PDF (Adobe Reader (Adobe Acrobat Reader), la partie gratuite et universellement déployée du format PDF). Cette programmation peut-être le fruit d'un cybercriminel tentant d'exploiter des failles de sécurité dans le lecteur de documents PDF Adobe Reader qui est d'une complexité inouïe et qui est un nid à failles de sécurité.

Il est possible de soumettre un document PDF à des scanners (sandbox) utilisables en tant que services gratuits en ligne. Voici quelques outils spécialisés, utilisables pour analyser des documents PDF et vérifier s'ils contiennent des tentatives d'exploitation de failles de sécurité.

Joe Sandbox Document Analyzer - Sandbox gratuite en ligne

Qualité du service : 5/5

Sandbox Online (Behaviourial information - Informations comportementales)

Analyse de dangerosité du contenu actif (scripts, macro-commandes, etc. ...) d'un document :

  • Acrobat Reader
  • Microsoft Office Word
  • Microsoft Office Excel
  • Microsoft Office Powerpoint

20 MO max. Avec la version gratuite en ligne, les fichiers soumis sont limités aux extensions DOC(X)(M), XLS(X)(M), PPT(X)(M), RTF et PDF.

Possibilité de conserver confidentiels l'échantillon et l'analyse.

L'usage gratuit de la sandbox (usage dit " basic ") limite le comportement des analyses hybrides et limites le nombre d'analyses à 200 par mois, sans dépasser 10 par jour.

JSUnpack - Sandboxing URL, PDF, JavaScript.

Qualité du service : 2,5/5

Sandbox Online (Behaviourial information - Informations comportementales)

Analyse URL, PDF, JavaScript.

JSUnpack = JavaScript Unpack (déobfuscation de codes javascript). Sandboxing - Emulation d'un navigatur - Analyse et décode le comportement d'un objet analysé : document PDF, dump PCap, SWF, code HTML, Script Javascript, URL d'une ressource Web.

Envoyer un fichier PDF, dump pcap, SWF, HTML ou JavaScript, ou saisir une URL ou un JavaScript.

Outil orienté vers les professionnels de la sécurité. Emule un navigateur pour analyser le comportement de l'objet analysé. Aide à la détection d'exploits visant les vulnérabilités des navigateurs et des plug-in des navigateurs.

JSUnpack est Open Source.

JSUnpack peut être téléchargé pour un usage local.

JSUnpack observe mais ne juge pas. Un professionnel sachant lire entre les lignes peut utiliser cette sandbox en Web réputation d'un site vue par les robots.

Autres analyseurs :
http://malwaretracker.com/pdf.php
http://wepawet.iseclab.org/
https://gallus.honeynet.org.my/
http://sandsprite.com/blogs/index.php?uid=7&pid=57
http://blog.didierstevens.com/programs/pdf-tools/
https://code.google.com/p/jsunpack-n/
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
https://github.com/9b/malpdfobj

Avertissement : Produits et Services gratuits

Ne jamais utiliser un "service gratuit en ligne", ou un "outil gratuit à télécharger et installer" qui ne soit pas recommandé par Assiste.com. Si nous n'avons pas encore parlé de tous les produits ou services fiables existants, il est quasi certain que presque tous les produits ou services dont nous ne parlons pas sont des malveillances ou des crapuleries (ou des produits moins performants, donc inutiles).

Recherche d'exploitation de failles PDF dans des documents PDF - Lien permanentChercher une tentative d'exploitation d'une faille Adobe ReaderRecherche d'exploitation de failles PDF dans des documents PDF

Adobe Acrobat (les documents PDF (" Portable Document Format " - " Format de document portable ")) est un outil multiplateforme développé par la société Adobe. Cet outil universel cherche à préserver la totalité des caractéristiques (mise en page, enrichissement graphique, polices de caractères, objets insérés...) d'un document écrit, produit par un logiciel quelconque, pour que celui-ci puisse être visualisé / imprimé partout, indépendamment de la plateforme matériel / système d'exploitation, tel qu'il a été produit à l'origine. Adobe PDF est constitué d'un outil de production de documents PDF, commercial (connu sous le nom de Adobe Acrobat Pro), et d'un lecteur universel gratuit (connu initialement sous le nom de Adobe Acrobat Reader et, désormais, sous le nom de Adobe Reader).
Les documents au format Adobe Acrobat .PDF), sont lisibles par le lecteur Adobe Reader (Adobe Acrobat Reader).
Note :
Les documents au format Adobe Acrobat sont fabriqués à partir du générateur de documents PDF : Adobe Acrobat (la partie commerciale d'Adobe Acrobat, dont le lecteur, Adobe Reader (Adobe Acrobat Reader), est gratuit et déployé dans tous les systèmes du monde).

Il existe des alternatives à Adobe Acrobat pour générer des documents .PDF, dont Open Office qui est une alternative gratuite et Open Source à Word, Excel, etc. ...
Un document PDF est un document utilisant un langage de programmation qui va interagir avec le lecteur de documents PDF (Adobe Reader (Adobe Acrobat Reader), la partie gratuite et universellement déployée du format PDF).
Adobe Reader (Adobe Acrobat Reader) est déployé partout : Windows, Windows Mobile, Dos et MSDos des PCs et compatibles PC, CP/M des Amstrad CPC et Commodore 128, Mac OS/X, OS/2, NeXtStep, Unix (AIX (IBM, SystemV), A/UX (Apple, SystemV), BOS (Bull Operating System), IRIX (Silicon Graphics, SystemV), HP-UX (Hewlett Packard, SystemV), LynxOS (LynuxWorks), NeXTSTEP (NeXT, BSD), Sinix (Siemens), Solaris (Sun, SystemV), SunOS (Sun, BSD), Tru64 (Compaq)), BSD (NetBSD, OpenBSD, OliveBSD, FreeBSD, PicoBSD, DragonFly BSD, PC-BSD, Darwin, OpenSolaris), GNU/Linux (Debian, Ubuntu, Mandriva, Gentoo, Red Hat, Fedora, SuSE, Slackware, EduLinux, etc. ...), Android, Symbian, IO/S, Palm OS, Pocket PC, Sun Solaris Sparc, IBM AIX, OS/2, Warp, etc. ...
Le document Adobe Acrobat, qui ne fait que coder dans un format universel et portable sur tous les systèmes, un document produit par un autre logiciel, peut être un document statique (à lire / imprimer) ou un document interactif (un formulaire avec des champs à remplir, la possibilité de faire des annotations, voire même de corriger le document initial, selon les droits et niveaux de protection ou d'ouverture accordés par le créateur du document...).

Le lecteur PDF, Adobe Reader (Adobe Acrobat Reader), incontournable, est une usine à gaz contenant des failles de sécurité qui peuvent être exploitées. Des documents PDF sont volontairement produits par des cybercriminels pour exploiter ces failles de sécurité. Ce sont des documents PDF d'attaque permettant aux cybercriminels de pénétrer dans les ordinateurs. Or les documents PDF sont partout, pour tout et pour tous. Les sites de téléchargements en marge de la légalité regorgent de documents PDF piégés, comme les sites pseudo " people " prétendant voguer sur les scandales du moment etc. ...

Les antivirus sont capables de lire un document PDF dans un " bac à sable " (Sandbox) pour voir ce qui se passe, avant de vous laisser le lire vous-même, mais, si le document est protégé par un mot de passe que le cybercriminel vous fait parvenir par un autre canal (tout simplement affiché sur la page où se trouve le lien vers le document pdf), les antivirus et les anti-malwares ne peuvent analyser le document et il passera à travers vos défenses.