Une vulnérabilité sur Adobe Acrobat Reader permettrait l'accès à des données confidentielles
Date de publication :
L’équipe de développement d’Adobe Acrobat et Reader a publié le 21 février 2019 un bulletin de sécurité portant sur le contournement de la vulnérabilité identifiée CVE-2019-7815. Cette vulnérabilité concerne le logiciel de manipulation de PDF qui avait été initialement corrigée le 12 février 2019. Celle-ci est considérée comme critique compte tenu de la similitude avec la vulnérabilité CVE-2019-7089 pour laquelle un bulletin de sécurité avait été publié la semaine précédente.
NTLM(NT Lan Manager) est un protocole d’identification utilisé dans les écosystèmes de Microsoft ou Linux. Un attaquant pourrait l’exploiter afin de voler des identifiants et mots de passe NTLM sur les postes qui ouvriraient certains PDF malveillants. Cette attaque serait peu complexe à exploiter mais nécessite une interaction avec l’utilisateur. L’impact estimé sur la confidentialité et l’intégrité des données est élevé.
À cette date, Adobe informe qu’aucun code d’exploitation n’existe publiquement, néanmoins, en combinant le code d’exploitation publié pour la CVE-2019-7089 et d'après le dernier tweet du chercheur, il serait possible de créer un code d’exploitation fonctionnel.
Détails techniques :
CVE-2019-7815 [CVSS v3 5.5] : Un attaquant pourrait envoyer un PDF malveillant afin de récupérer les hash NTLMv2 des victimes. Cette vulnérabilité est similaire à la CVE-2019-7089 dans son exploitation. En effet, Adobe autorise l’utilisation des XFA (XML Form Architecture). Ceux-ci permettent de structurer le PDF avec des formulaires par exemple à l’aide d’un XML.
- L’attaquant doit créer un PDF utilisant XFA où il indique un chemin non existant pour récupérer le .xslt (ce fichier va permettre la conversion au format PDF) en utilisant le protocole SMB. La différence par rapport à la première CVE se trouve à ce niveau, puisqu’il existe un moyen de contourner la protection apportée au niveau de l’assainissement du champ contenant le chemin du .xslt spécifié dans le XML.
- Une requête SMB s’effectue au moment de l’ouverture du PDF afin de requêter le .xslt non existant.
- Grâce à cette requête et à l’aide d’un outil d’écoute de réseau, l’attaquant pourra récupérer les identifiants et les hash NTLM des victimes.
Afin de se protéger contre cette vulnérabilité, il est recommandé de faire les mises à jour rapidement. La priorité de mise à jour est évaluée à 2 par Adobe, ce qui signifie qu’une prochaine exploitation n’est pas imminente mais qu’il est recommandé de la corriger sous 30 jours.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données
Criticité
- Score CVSS : 5.50
Existence d’un code d’exploitation de la vulnérabilité
- Le premier code d’exploitation peut être effectif en le combinant avec le dernier tweet du chercheur.
Composants & versions vulnérables
- Acrobat DC et Acrobat Reader DC <= 2019.010.20091
- Acrobat 2017 et Acrobat Reader 2017 <= 2017.011.30120
- Acrobat DC 2015 et Acrobat Reader DC 2015 <= 2015.006.30475
CVE
- CVE-2019-7815
- CVE-2019-7089
Solutions ou recommandations
Mise en place de correctif de sécurité
- Les correctifs sont portés par les versions 2019.010.20098 (Acrobat DC et Acrobat Reader DC), 2017.011.30127 (Acrobat 2017 et Acrobat Reader 2017) et 2015.006.30482 (Acrobat DC 2015 et Acrobat Reader DC 2015).
Solution de contournement
- Il est possible d’activer le mode « Vue protégée » sur Acrobat Reader afin de bloquer ce type d’attaque.