27C3: Brandgefährliche PDF-Dokumente [Update]

Die Sicherheitsforscherin Julia Wolf von der US-Firma FireEye hat auf dem 27. Chaos Communication Congress (27C3) in Berlin auf zahlreiche bislang wenig bekannte Sicherheitsprobleme rund um das ursprünglich von Adobe entworfene PDF. Beispielsweise könne man in ein PDF-Dokument einen Datenbank-Scanner einbauen, der beim Ausdrucken des Dokuments auf einem Netzwerkdrucker aktiv werde und das Netzwerk abtaste. Auch sonst sei das Dokumentenformat für zahlreiche Überraschungen gut. Es sei etwa möglich, PDFs zu schreiben, die in unterschiedlichen Betriebssystemen, Browsern oder PDF-Lesern – oder sogar in Abhängigkeit von der Spracheinstellung eines Rechners – verschiedene Inhalte darstellten.

Unternehmen und Verwaltungen setzen PDF-Dateien als Standardformat ein, um in heterogenen Computerlandschaften eine einheitliche Inhaltepräsentation zu gewährleisten. PDF hat Wolf zufolge aber längst viel zu viele Funktionen, die für Angriffe und Schabernack zu missbrauchen seien. Dies starte bei einem Datenbankanschluss, der ohne Sicherheitsmerkmale daherkomme, und ende bei Optionen, die blindlings die Ausführung eine beliebigen Programms im Acrobat Reader veranlassen könnten. Zwischendrin befände sich die Unterstützung etwa von an sich nicht sonderlich gut abzusichernden Skriptsprachen wie JavaScript sowie anderer Formate wie XML oder RFID-Tags und digitales Rechtekontrollmanagement (DRM). Adobe selbst bezeichne PDF als "Container-Format", in das sich tatsächlich einiges hineinstopfen lasse. Integriert werden könnten etwa auch Flash-Dateien, die ihrerseits viele Angriffspunkte bieten, oder Sound- und Video-Dateien.

Generell gebe es viele Orte, um willkürliche Daten und Code in einem PDF zu verstecken, führte Wolf weiter aus. So seien etwa alle Dokumenten- und Metadaten mithilfe von JavaScript les- und änderbar. Selbst komprimierte Dateien etwa im ZIP-Format ließen sich integrieren, hinter denen man wiederum in den Kommentaren weitere beliebige Objekte einbinden könne. Es sei auch möglich, eine sehr klein zu haltende PDF-Datei zu erstellen, die nur JavaScript ausführe. Weiter könne man auf gewisse Objekte mehr als einmal verweisen und so unterschiedlichste Reaktionen beim Öffnen der Dateien bewirken.

Nicht geringer wird das Sicherheitsdebakel Wolf zufolge durch die Tatsache, dass die meisten Anti-Viren-Programme Schadsoftware in PDF nicht erkennen. Sie habe dazu einige Tests mit bereits bekannten Exploits durchgeführt, wobei selbst bei Monate alten Warnhinweisen die Hälfte der über 40 geprüften Scanner nicht angeschlagen habe. Wenn Schadcode in JavaScript zusätzlich komprimiert werde, seien die Erkennungsraten noch viel geringer. [Update] Adobe sehe als erste Abhilfe die mit dem Reader X eingeführte Sandbox, in der Code keine Schreibrechte bekommt [/Update]. Andere Sicherheitsexperten setzten darauf, Metadaten mit speziellen Hilfsmitteln aus PDFs zu entfernen oder die Syntax der entsprechenden Dateien vorab auf Konformitätsfehler hin zu prüfen. (jow)