Adobes Schutz vor eingebetteten Skripten lückenhaft
Der Schutz vor Angriffen über die /launch-Aktion ist lückenhaft. Setzt man in PDF-Dokumente eingebettete Befehle in doppelte Anführungszeichen, so lässt sich der Schutz austricksen.
- Daniel Bachfeld
Der mit dem Update 9.3.3 im Reader und Acrobat eingeführte Schutz vor Angriffen über die /launch-Aktion ist lückenhaft, wie der Sicherheitsdienstleister BKIS in seinem Blog festgestellt hat. Setzt man in PDF-Dokumente eingebettete Befehle in doppelte Anführungszeichen, so lässt sich der Schutz austricksen und das Programm startet – jedoch erst nach Bestätigung eines Warndialoges.
Weil nach Angaben von Adobe viele Kunden die Funktion für ihre Unternehmenslösungen benötigen, hatte der Hersteller eine Blacklist verbotener Anwendungen (darunter .exe, bat und viele andere) integriert, statt die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" komplett zu deaktivieren. Mit der Blacklist soll der Reader grundsätzlich alle bösartigen Aufrufe blockieren, egal wie diese Option gesetzt ist.
Offenbar arbeitet die Blacklist-Funktion aber äußerst simpel und lässt sich austricksen, wenn man die Befehle in Anführungszeichen setzt (/F("cmd.exe"). In der Folge springt der Filter nicht an und der Reader versucht den Befehl auszuführen – sofern die Option "Nicht-PDF-Dateianlagen dürfen..." noch aktiv ist. Adobe selbst gibt zu, dass die Blacklist-Lösung nicht perfekt ist und sich austricksen lässt. Sie verringere aber das Angriffsrisiko, ohne die Workflows in Firmen zu stören.
Für Heimanwender lässt sich das Problem lösen, indem sie die Funktion unter der Option "Bearbeiten/Voreinstellungen/Berechtigungen" abschalten. Anwender in Unternehmen, bei denen dies nicht möglich ist, können die Blacklist von Adobe manuell erweitern. Der Entdecker der /launch-Lücke Didier Stevens schlägt in seinem Blog vor, der Liste unter HKLM\SOFTWARE\Policies\Adobe\product\version\FeatureLockDown\cDefaultLaunchAttachmentPerms einfach ein .exe”:3 hinten anzustellen, damit zumindest der Aufruf von "cmd.exe" in Dokumenten fehlschlägt.
Es bleibt festzuhalten, dass sich die Lücke nach dem Update mit den neuen Tricks nur noch ausnutzen lässt, wenn der Anwender allzu sorglos die Dialoge wegklickt, denn eine Warnung kommt auf jeden Fall. Und seit dem Update auf 9.3.3 können die Dialoge auch nicht mehr in die Irre führen. (dab)
