Recentemente è stata scoperta una “falla” nella specifica del formato PDF che permette di avviare un eseguibile senza sfruttare alcuna specifica vulnerabilità di Adobe Reader.
Per informazioni si veda il seguente post PDF "/Launch" Social Engineering Attack dove viene suggerito di disabilitare la funzionalità Launch Action.
Per disabilitare tale funzionalità è anche possibile impostare la seguente chiave di registry:
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals
Name: bAllowOpenFile
Type: REG_DWORD
Data: 0
Per impedire che la funzionalità possa essere abilitata dall’interfaccia grafica di Adobe Reader è possibile impostare la seguente chiave di registry:
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals
Name: bSecureOpenFile
Type: REG_DWORD
Data: 1
Per automatizzare l’impostazioni di queste chiavi di registry è possibile utilizzare il comando REG:
reg query "HKCU\Software\Adobe\Acrobat Reader\9.0\Originals" /v bAllowOpenFile
IF ERRORLEVEL 1 reg add "HKCU\Software\Adobe\Acrobat Reader\9.0\Originals" /v bAllowOpenFile /t REG_DWORD /d 0
reg query "HKCU\Software\Adobe\Acrobat Reader\9.0\Originals" /v bSecureOpenFile
IF ERRORLEVEL 1 reg add "HKCU\Software\Adobe\Acrobat Reader\9.0\Originals" /v bSecureOpenFile /t REG_DWORD /d 1