企业更需注意蠕虫攻击恐借文件传播容易

安全研究员Jeremy Conway称他发现了一种能通过PDF文件传播恶意代码的新攻击。

此事共造成6人重伤 这一攻击借用PDF文件漏洞，向合法的PDF文件添加恶意代码，随后对打开文件的用户实施攻击。

Conway是NitroSecurity的产品经理，他已经开发出一种可以往PDF文件中注入恶意代码的技术。但是他开发的攻击只有系统中有其他添加了该代码的恶意程序存在时才有效。不过，当研究员Didier Stevens向外界展示PDF文件如何被篡改并运行受害者电脑上的可执行文件时，一切都发生了变化。

Conway说：当我看淡Didier的攻击后，发现这是首次能从纯粹的PDF文件内部完成此类操作。黑客们早就清楚可以通过此种方式操纵PDF文件的读者，但是Stevens的攻击显示的是Foxit阅读器如何在没有验证用户的情况下发布可执行文件。Foxit现在已经修补了这一漏洞，不过潜在的PDF标准中的漏洞却要通过修改标准本身才能得以修复。

Adobe Systems的发言人通过电子邮件表示：这再次告诉人们当文件使用不当的时候，即便是用户信赖的具备强大功能的应用同样会带来潜在的威胁。

如果用户想关闭有助于攻击生效的Adobe阅读器功能或Acrobat功能，可以点击 参数选择 目录 信任管理器 PDF文件附件，然后对允许通过外部应用打开非PDF文件的附件一项不进行选取。

在Foxit阅读器的3.2.1版本中，软件已经会弹出一个对话框以便询问用户是否确实要执行代码。Adobe阅读器也有同样的操作。

在介绍此类攻击的视频中，Conway展示了他如何用可执行代码创建一个恶意PDF文件，而且这些代码页同时插入到他Adobe的警告框中的文本。通过插入点击打开的文本可以解密此文件，而黑客也可以增加打开受害者文件的几率。

Conway假设用户受到攻击并允许可执行代码的运行，他就会像蠕虫一样，将恶意的有效负载复制到电脑上的其他PDF文件。这一恶意行为就被称之为PDF攻击。他认为这可能成为零日攻击的下一个媒介。

他认为大多数企业都对此类攻击没有做出防范。在视频中他也只是示范了操作而没有公布代码。Verizon的安全顾问Thierry Zoller称，该PDF攻击可能被用来向Word文档注入恶意宏命令