StarForce Reader не содержит уязвимости, позволяющей украсть данные пользователей
В конце апреля исследовательская группа Check Point обнаружила, что открытие файла PDF может вызывать утечку NTLM-хэш пользователей Windows. Эксплуатация этой уязвимости в PDF позволяет получить удаленный контроль над компьютером. Подробнее в статье.
Компания StarForce разрабатывает защиту для PDF файлов, которая включает в себя защиту от копирования, редактирования, печати и снятия экранных копий. Просмотр защищенных файлов осуществляется с помощью специальной программы – StarForce Reader.
Исследование, проведенное компанией StarForce, подтвердило, что файлы PDF и SFPDF, открытые с помощью StarForce Reader не могут инициировать утечку хэшей NTLM, так как программа не поддерживает механизм Windows, содержащий уязвимость.
Комментарий специалиста StarForce:
«Уязвимость была обнаружена в протоколе работы Windows c расшаренными папками. Речь идет о специальном протоколе SMB, при использовании которого Windows кэширует имя пользователя, название домена и хэш пароля, чтобы не запрашивать его каждый раз при обращении к общим папкам. Теперь вопрос: как заставить пользователя обратиться к серверу злоумышленника по протоколу SMB? Вот это и помогает сделать PDF. В формате PDF есть возможность указать дополнительное действие (AA entry, от слов Additional Action) для разных событий. Одним из вариантов действий является "открыть сторонний файл". Если действие указано для события, которое всегда происходит при открытии документа (например, событие открытия страницы), а адреса файла указать в формате, принятом в Windows для расшаренных папок (\\<адрес_сервера>\<имя_файла>), то при открытии такого PDF автоматически произойдёт обращение к указанному серверу злоумышленника по протоколу SMB. Таким образом, хакер получит имя пользователя вместе с названием домена и хэш пароля, который можно подобрать и получить доступ в сеть и на компьютер пользователя. В просмотрщике PDF документов StarForce Reader этот механизм Windows отключен».
Скачать StarForce Reader можно по ссылке. Защиту PDF файлов от копирования и несанкционированного распространения можно бесплатно протестировать на сайте SFContent.com
