2010年早期，PDF漏洞利用還是最常見的惡意軟件伎倆之一。年中時(shí)，漏洞利用的頭把交椅被Java漏洞占據(jù)。盡管這樣，PDF仍是極受“歡迎”的攻擊目標(biāo)。對(duì)于運(yùn)行PDF軟件（Adobe Reader及其商業(yè)版本Acrobat）的企業(yè)來說，這些攻擊導(dǎo)致了幾乎無止境的軟件更新。為什么惡意軟件的作者喜歡利用PDF漏洞？如何使自己避免成為其受害者？

原因分析

1、低垂的果實(shí)：PDF的漏洞利用如此猖狂的一個(gè)原因在于Adobe Reader的應(yīng)用非常普遍。由于數(shù)據(jù)執(zhí)行預(yù)防（DEP）和地址空間布局隨機(jī)化（ASLR）等強(qiáng)化技術(shù)已經(jīng)進(jìn)入了Windows領(lǐng)域，這使得操作系統(tǒng)的漏洞利用不再那么有吸引力。惡意軟件的編寫者需要更肥沃的土壤，而PDF由于應(yīng)用廣泛而受到關(guān)注。幾乎每臺(tái)電腦都要安裝PDF閱讀器，這成為惡意軟件作者最喜愛的樂土之一。

2、“簡捷的”漏洞利用：事實(shí)上，可以利用PDF漏洞的惡意軟件工具是很容易得到的，幾乎不需要什么努力或費(fèi)用就可以得到這種工具。如LuckySploit、 CrimePack、 Fragus等惡意工具，在國內(nèi)外不少網(wǎng)站上可以買到或下載。如今，多數(shù)新的惡意軟件工具套件包括Adobe Flash、 Java、基于PDF的漏洞利用等。這些套件可以輕松地利用Adobe Reader的一些著名漏洞，實(shí)施自動(dòng)化攻擊。

3、巨大的攻擊面：PDF是一種工業(yè)標(biāo)準(zhǔn)的便攜式文檔格式，許多免費(fèi)和商業(yè)軟件都支持此格式。而Adobe Reader和Acrobat產(chǎn)品是其中的寵兒。這使得PDF成為文檔交換的一種“統(tǒng)一語言”，但同時(shí)也意味著一種巨大的攻擊面，Adobe和反惡意軟件廠商在防御過程中困難重重。例如，Adobe Reader支持嵌入式Javascript對(duì)象，因而惡意軟件作者又可以展開新的攻擊。

有些用戶仍然運(yùn)行著Adobe Reader 8.0或更低的版本，認(rèn)為自己的軟件支持自動(dòng)更新并安裝了所有的可用補(bǔ)丁。但用戶應(yīng)當(dāng)遷移到Reader X，這樣就可以成功避免針對(duì)老版本的漏洞利用。 

4、斗爭遠(yuǎn)沒有結(jié)束：去年，Adobe采取了許多措施來減少PDF漏洞利用。除了自動(dòng)更新，Adobe還開發(fā)了一種Adobe Reader受保護(hù)模式。這是一種沙箱技術(shù)，可以在其中打開并顯示PDF文檔，限制惡意軟件對(duì)其它應(yīng)用程序的調(diào)用，并運(yùn)用策略來決定自動(dòng)準(zhǔn)許或阻止行動(dòng)。不幸的是，用戶往往會(huì)單擊“確定”，從而使這些保護(hù)失效。雖然用戶現(xiàn)在也許認(rèn)識(shí)到，PDF可用于實(shí)現(xiàn)釣魚，許多人仍然不認(rèn)為PDF會(huì)成為惡意軟件的溫床。攻擊者們繼續(xù)搜索新的漏洞，或新的方法來逃避檢測(cè)。例如，ROP和竊取數(shù)字證書在PDF漏洞利用中就扮演過角色。

管理員們可能知道如何通過掃描和過濾來監(jiān)視其它的攻擊形式，但減少PDF的漏洞利用卻有不少困難。幾乎沒有哪家企業(yè)愿意簡單地阻止PDF附件及其下載，合法的PDF極其普遍，并在商業(yè)慣例中根深蒂固。然而，雇員們?nèi)钥梢圆扇〈胧┓烙阎穆┒蠢谩?/p>

應(yīng)對(duì)刻不容緩

你首先需要將每個(gè)桌面的Adobe Reader或Acrobat升級(jí)到最新的版本，并啟用自動(dòng)更新，還要進(jìn)行安全配置，例如，禁用Javascript，如下圖所示：

禁用Javascript

企業(yè)還可以考慮使用其它的PDF閱讀器，這樣做也許可以減少攻擊面，要考慮自由軟件閱讀器的合法性、安全性、互用性。企業(yè)必須監(jiān)視PDF閱讀器的漏洞，要確保根據(jù)優(yōu)先級(jí)別及時(shí)應(yīng)用補(bǔ)丁，例如，一個(gè)月檢查一次，從時(shí)間上講就顯得太長。

最后，要教育經(jīng)理主管人員和其它員工，并告知他們常常是釣魚攻擊的目標(biāo)，以及PDF可能導(dǎo)致的風(fēng)險(xiǎn)。

【編輯推薦】

1. Windows 7惡意軟件感染率增長30%
2. 被黑之后如何檢測(cè)和清除網(wǎng)站的惡意軟件
3. Google Market：惡意軟件再次來襲
4. 手機(jī)惡意軟件之警惕五大主要特征