Risques et mitigation des fichiers PDF

Jeremy

2 min read
Risques et mitigation des fichiers PDF

Tu peux te demander comment un fichier PDF peut être un vecteur d'attaque et comment atténuer ces risques.

PDF vecteur d'attaques, le plus souvent délivré par du phishing :

  • 0day du lecteur
  • Javascript embarqué
  • Liens dissimulés ou piégés

Sur un parc conséquent, le facteur humain sera mis à rude épreuve , voici mon approche pour atténuer le risque.

Adobe reader en lecteur PDF par défaut mais préconfiguré et verrouillé pour :

  • Mise à jour automatique
  • Javascript désactivé
  • Liens désactivés
  • Désactiver les services tiers
  • Mode protection renfocé activée
  • Vue protégée activée pour les fichiers de sources internet
  • Sensibiliser les utilisateurs sur les PDF avec mot de passe, utilisé pour chiffrer les charges et les offusquer face aux protections de sécurités.

La configuration peut être réalisée en utilisant Adobe Custom Wizard avec les fichiers "transformer" pour le déploiement de Adobe Reader, ainsi que par l'utilisation de la GPO/intune pour Adobe Reader disponible sur GitHub

GitHub - systmworks/Adobe-DC-ADMX: A combined Adobe Reader & Acrobat DC ADMX template for both Group Policy and importing into Intune.
A combined Adobe Reader & Acrobat DC ADMX template for both Group Policy and importing into Intune. - systmworks/Adobe-DC-ADMX
GitHubsystmworks

Déployer Adobe Reader
Installer correctement Adobe Reader DC avec la bonne configuration et conserver la stratégie de mise à jour automatique n'est pas si simple.

Réalisation du package de déploiement :
Téléchargement du package : Adobe - Distribution d’Adobe Acrobat Reader

Extraire le package .exe avec 7-zip

Une image contenant texte, logiciel, Police, Page web Le contenu généré par l’IA peut être incorrect.

 

A chaque release téléchargée un nouveau fichier MSP (le patch) sera présent.

 Le AcroRead.msi est l’installateur de la version de base de Adobe Reader DC, le patch est cumulatif et monte toutes les versions de la 2015 (initial) jusqu’à la dernière.

 Un slip stream du patch dans l’installateur casse les updates automatiques suivantes car cela change la branche de version.

Pour conserver les mises à jour automatique Adobe, il faut chainer le patch à l’installation de base.

Commande d’installation silencieuse avec Patch et fichier de préconfiguration de Adobe Reader. Très important, le chemin du patch doit être le chemin complet absolu.

msiexec /i "AcroRead.msi" PATCH="D:\DeploymentShare\Applications\Adobe Acrobat Reader DC\AcroRdrDCUpd2500121111.msp" TRANSFORMS="AcroRead.mst" /qn

Le fichier de configuration inital mst est réalisé par l'outil   Acrobat Customization Wizard for Windows

 

 

Image non disponible

Chargez le  fichier AcroRead.msi et paramétrez les options.

 La personnalisation terminée, enregistrez le fichier MST: « Transform » → « Generate Transform ».

A la fermeture  sauvegardez les modifications apportées au « .msi »

 On crée ainsi un fichier AcroRead.mst à déposer dans le répertoire des sources d’installation

Read more