Adobe Reader ve Adobe 9.0'dan önceki versiyonlarında etkili olan ciddi bir açıklık bulundu. Açıklık Shadowserver[1] tarafında 19 Şubat 2009 tarihinde duyuruldu ve Bilgi Güvenliği Kapısı Güvenlik Bildirileri bölümünde yerini aldı [2]. Açıklık saldırı vektörü, kötü niyetli hazırlanmış PDF dosyaları ile ilişkili. Başarılı şekilde gerçekleşen saldırı sonucu saldırganlar sistem kontrolünü ele geçirebiliyor ve uygulamanın çökmesine neden olabiliyor.

NOT: Adobe firması 18 Mart 2008 tarihinde bu açıklık için bir yama yayınlamıştır. Yama ile ilgili detaylara http://www.adobe.com/support/security/bulletins/apsb09-04.html adresinden ulaşılabilir.

Dünya genelinde yapılan analizlerde saldırı kodunu içeren PDF dokümanların Internet ortamında bulunduğu saptanmıştır [3]. Her ne kadar şu anki  tespitler açıklığın yoğun bir şekilde kullanıldığını göstermese de açıklığın karakteri ve saldırı kodunun kolay enjekte edilebilmesi önümüzdeki günlerde çok daha önemli bir tehdit haline dönüşebileceğinin sinyallerini vermektedir. Etkilerinin Conficker solucanı [4] gibi kitlesel olabileceği tahmin edilmektedir. Saldırı kodunun bazı sitelerde yayınlanmış olması bu tahmini kuvvetlendirmektdir.

Shadowserver bulgularına göre saldırıyı gerçekleştirmenin birçok yolu var. Açıklığın gerçekleştirilmesinde Javascript dışındaki fonksiyon çağrıları kullanılıyor. Fakat bu açıklığı kullanan saldırının kurban bilgisayarlarda yetkisiz komut çalıştırması veya komut satırı elde edilmesi şeklinde sonuçlanabilmesi için Adobe ürünlerinde Javascript kullanımının aktif olması gerekmektedir. Saldırı heap spray [5] denilen uzaktan kod çalıştırma tekniğini kullanmaktadır ve  saldırı için kullanılan PDF dosyaları, heap alanına shellcode yerleştirilebilmesi için Javascript içermelidir. Açıklığın davranışı mevcut ortama bağlı olarak değişebilir. Bazı durumlarda saldırı gerçekleme kodunu içeren PDF dosyası açılmadan önce Adobe Reader hata verip kapanabilir. Bu durumla karşılaşan kullanıcılar, açtıkları PDF dokümanının saldırı gerçekleme kodunu içermediğinden emin olmalıdırlar ve sadece güvenilir kaynaklardan gelen dosyaları açmalıdırlar.

Adobe firması bulunan bu önemli açıklık hakkında bir uyarı yayınladı ve 9.x için gerekli güncellemelerin 11 Mart'a kadar gerçekleştirilemeyeceğini bildirdi. Adobe firması bu açıklığa karşı geçici bir önlem olarak  Adobe Reader ve Acrobat ürünlerinde bulunan Javascript çalıştırma özelliğinin kapatılmasını öneriyor [6]. Javascript çalıştırma özelliğini kapatmak için Adobe reader programı başlatılır ve programda;

Edit->Preferences->javascript

Yolu takip edilir ve açılan pencerede, "Enable Acrobat JavaScript" opsiyonu için tik kaldırılır.

Şekil 1. Adobe Reader'da Javascript'in devre dışı bırakılması

Bu işlem, her nekadar saldırının en önemli etkisi olan uzaktan kod çalıştırmayı engellese de servis dışı bırakma gibi diğer sonuçların önünü alamamaktadır.

Alınacak ikincil önlemler ise web gezginlerinde PDF dokümanlarının otomatik açılmasının engellenmesi ve Antivirüs yazılımlarının güncel tutulmasıdır. Web gezginlerinde PDF dokümanlarının otomatik açılmasını engelleyebilmek için Adobe reader programı açılır ve programda;

Edit->Preferences->internet

Yolu takip edilir ve açılan pencerede, "Display PDF in Browser" opsiyonu için tik kaldırılır.

Şekil 2. PDF dokümanlarının otomatik olarak açılmasının engellenmesi

Buraya kadar anlatılan önlemler lokal kullanıcıların kendi yapacakları ile ilgiliydi. Active directory’de Acrobat Reader Javascript çalıştırma özelliğini kapatmak için referanslardaki GPO kullanılabilir [7] ve politika oluşturmak için şu yol takip edilir;

• GPO “.adm” uzantılı olarak kaydedilir.

• Active directory yönetim ekranında yeni bir politika oluşturulur.

• Daha önce hazırlanmış olan “.adm” uzantılı dosya politikaya taslak olarak eklenir.

• Taslak içindeki JavaScript politika tanımlamaları devre dışı bırakılır.

İşlemler görsel olarak Şekil 3 ve Şekil 4'de gösterilmiştir.

Şekil 3. Active directory Acrobat Reader politikası

Şekil 4. Javascript ile ilgili parametrelerin devre dışı bırakılması

Kaynakça

[1] http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20090219

[2] http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/adobe-reader-zero-day-acikligi.html

[3] https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/188

[4] http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/nam-i-diger-conficker-downadup-kido-solucani1.html

[5] http://en.wikipedia.org/wiki/Heap_spraying

[6] http://www.adobe.com/support/security/advisories/apsa09-01.html

[7] http://www.shadowserver.org/wiki/uploads/Calendar/adobe.txt

	1. 08-03-2009 00:20
	teşekkürler uygulamaya geçildi ! Bildir

gökhan altınelliler

	2. 02-03-2009 19:16
	Tamam dır teşekkürler bazen unutabiliyoruz uyguladım. Bildir

Onur KARAMANLI

	3. 02-03-2009 15:29
	Merhaba, group policy editörünü açıp üst menüden view --> Filtering seçilir. Gelen ekranda "only show policy settings that can be full managed" seçeneginin önündeki çentik kaldırılır. Şimdi tüm tanımlamalar karşınıza gelecektir. Bildir

Zeynel Büyük

	4. 02-03-2009 12:47
	GPO'yu oluşturdum fakat içersine JS tanımlamaları gelmedi nedendir acaba? Aynen resimdeki gibi oldu fakat içersine tanımlamalar gelmedi Bildir

Onur KARAMANLI

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.