Risques et mitigation des fichiers PDF
Tu peux te demander comment un fichier PDF peut être un vecteur d'attaque et comment atténuer ces risques.
PDF vecteur d'attaques, le plus souvent délivré par du phishing :
- 0day du lecteur
- Javascript embarqué
- Liens dissimulés ou piégés
Sur un parc conséquent, le facteur humain sera mis à rude épreuve , voici mon approche pour atténuer le risque.
Adobe reader en lecteur PDF par défaut mais préconfiguré et verrouillé pour :
- Mise à jour automatique
- Javascript désactivé
- Liens désactivés
- Désactiver les services tiers
- Mode protection renfocé activée
- Vue protégée activée pour les fichiers de sources internet
- Sensibiliser les utilisateurs sur les PDF avec mot de passe, utilisé pour chiffrer les charges et les offusquer face aux protections de sécurités.
La configuration peut être réalisée en utilisant Adobe Custom Wizard avec les fichiers "transformer" pour le déploiement de Adobe Reader, ainsi que par l'utilisation de la GPO/intune pour Adobe Reader disponible sur GitHub
Déployer Adobe Reader
Installer correctement Adobe Reader DC avec la bonne configuration et conserver la stratégie de mise à jour automatique n'est pas si simple.
Réalisation du package de déploiement :
Téléchargement du package : Adobe - Distribution d’Adobe Acrobat Reader
Extraire le package .exe avec 7-zip

A chaque release téléchargée un nouveau fichier MSP (le patch) sera présent.
Le AcroRead.msi est l’installateur de la version de base de Adobe Reader DC, le patch est cumulatif et monte toutes les versions de la 2015 (initial) jusqu’à la dernière.
Un slip stream du patch dans l’installateur casse les updates automatiques suivantes car cela change la branche de version.
Pour conserver les mises à jour automatique Adobe, il faut chainer le patch à l’installation de base.
Commande d’installation silencieuse avec Patch et fichier de préconfiguration de Adobe Reader. Très important, le chemin du patch doit être le chemin complet absolu.
msiexec /i "AcroRead.msi" PATCH="D:\DeploymentShare\Applications\Adobe Acrobat Reader DC\AcroRdrDCUpd2500121111.msp" TRANSFORMS="AcroRead.mst" /qnLe fichier de configuration inital mst est réalisé par l'outil Acrobat Customization Wizard for Windows

Chargez le fichier AcroRead.msi et paramétrez les options.
La personnalisation terminée, enregistrez le fichier MST: « Transform » → « Generate Transform ».
A la fermeture sauvegardez les modifications apportées au « .msi »
On crée ainsi un fichier AcroRead.mst à déposer dans le répertoire des sources d’installation