Webseiten infizieren PCs über Lücken in Adobes Reader
Offenbar kursieren bereits seit Ende Januar infizierte PDF-Dokumente, die einen Trojaner auf dem System installieren. Nach und nach gibt es nähere Informationen, welche Lücken sie dafür ausnutzen.
- Daniel Bachfeld
Die Hersteller von Antivirensoftware weisen auf präparierte PDF-Dokumente hin, durch die Angreifer den PC eines Opfers mit Schädlingen infizieren können. Dazu genügt es, ein Dokument auf einer Webseite etwa mit dem Internet Explorer oder Firefox zu öffnen. Die Dokumente nutzen dabei Sicherheitslücken im Adobe Reader, Adobe Acrobat Professional, 3D und Standard vor den Versionen 8.1.2 aus. Auch die Version 7 ist betroffen, hier gibt es derzeit noch kein Update.
Bereits vergangene Woche gab es Gerüchte, dass erste Webseiten versuchen würden, die PCs von Besuchern zu infizieren. Unklar war zu diesem Zeitpunkt, über welche Lücken dies geschehen sollte, da der Hersteller keine Informationen über die Schwachstellen veröffentlichte und erst Tage nach Herausgabe der korrigierten Fassung 8.1.2 eine Warnung über kritische Lücken nachschob.
Mittlerweile liegen genauere Informationen unabhängiger Dienstleister wie iDefense und Tipping Point vor. Deren Berichten zufolge beruhen die Probleme unter anderem auf der fehlerhaften Implementierung von JavaScript im EScript-Plug-in des Readers. Durch eine unsichere Methode ist der Low-Level-Zugriff auf Objekte möglich, wodurch sich Schadcode ausführen lässt. Abhilfe schafft es, JavaScript in den Produkten zu deaktivieren. Das soll laut iDefense auch vor mehreren Buffer Overflows in anderen JavaScript-Methoden schützen, durch die es ebenfalls möglich ist, Schadcode auf einem System auszuführen. Über die genaue Zahl der Pufferüberlaufe macht iDefense keine Angaben, die Exploits sollen aber genau diese Fehler ausnutzen. Adobe wurde bereits im Oktober über die Lücken informiert.
Zudem gibt es eine Schwachstelle im Reader beim Laden der "Security Provider"-Bibliothek für Kryptographie. Offenbar überprüft der Reader die Pfade nicht richtig und lädt beliebige Dateien, die den Namen der Bibliothek tragen aus dem aktuellen Verzeichnis. Sofern ein Angreifer das Verzeichnis unter seiner Kontrolle hat, etwa auf einem SMB- oder WebDAV-Server, kann er seinem Opfer Schadcode unterjubeln.
Die ersten präparierten PDF-Dokumente sollen schon am 19. Januar in einem italienischen Forum aufgetaucht sein. Beim Öffnen des Dokumentes lud ein eingebettetes Skript eine Variante des Zonebac-Trojaners von einer IP-Adresse in den Niederlanden nach. Zudem sollen präparierte Banner versucht haben, die PDF-Dateien an Anwender zu verteilen. Der Trojaner soll mit den Servern doginhispen.com und skitodayplease.com Kontakt aufnehmen.
Die Erkennungsrate der präparierten Dokumente durch Virenscanner ist derzeit noch ziemlich bescheiden. Bei zwei von drei heise Security vorliegenden Exemplaren erkannten gerade einmal F-Secure, McAfee, Microsoft, Norman und Symantec den unter anderem W32.Pidief genannten Exploit. Anwender sollten so schnell wie möglich auf die Version 8.1.2 von Adobe Reader oder Adobe Acrobat wechseln.
Siehe dazu auch:
- Adobe Reader Security Provider Unsafe Libary Path Vulnerability, Fehlerbericht von iDefense
- Adobe Reader and Acrobat JavaScript Insecure Method Exposure Vulnerability, Fehlerbericht von iDefense
- Adobe Reader and Acrobat Multiple Stack-based Buffer Overflow Vulnerabilities, Fehlerbericht von iDefense
- Adobe Acrobat Javascript for PDF Integer Overflow Vulnerability , Fehlerbericht von ZDI
(dab)
