Adobe warnt vor Zero-Day-Lücke in Reader und Acrobat
Kriminelle nutzen eine bislang unbekannte Lücke für gezielte Angriffe aus. Der Exploit kann moderne Schutzfunktionen unter Windows aushebeln. Einen Patch oder konkrete Schutzhinweise gibt es von Adobe bislang nicht.
- Daniel Bachfeld
Adobe hat vor einer neuen Lücke im Adobe Reader und Acrobat 9.3.4 sowie früheren Versionen für Windows, Mac und Unix gewarnt, die Angreifer offenbar bereits ausnutzen, um über manipulierte PDF-Dokumente Windows-PCs zu infizieren. Ursache des Problems ist laut Secunia ein Buffer Overflow aufgrund eines Fehlers in der Bibliothek CoolType.dll beim Parsen von Zeichensätzen. Einen Patch gibt es nicht, der Hersteller arbeitet an einer Lösung.
Ob das Deaktivieren von JavaScript im Reader und Acrobat Abhilfe bringt, ist unklar. Der AV-Hersteller Sophos schreibt in seinem Blog, dass der beobachtete Exploit JavaScript benutzt, das Abschalten also helfen könnte. Adobe gibt diese Empfehlung jedoch nicht. Anwender sollten überlegen, alternativ andere PDF-Viewer wie Foxit zu benutzen.
Der Exploit ist in der Lage, die Schutzmechanismen von Windows 7 und Vista wie die Datenausführungsverhinderung (DEP) und die Speicherverwürfelung (ASLR) zu überwinden und setzt auf sogenanntes Return-oriented Programming, bei der auf dem Stack statt des Codes nur Rücksprungadressen und Parameter landen. Im Unterschied zu bisherigen PDF-Exploits lädt der Code laut Kaspersky auch keine weitere Malware über das Netz nach, sondern enthält sie bereits im PDF-Dokument. Andere Sicherheitsspezialisten haben hingegen beobachtet, dass der Exploit nach dem "droppen" einer DLL weiteren Code von einem Server aus der Domain academyhouse.us lädt.
Der installierte Schädling soll zudem über eine gültige digitale Signatur verfügen – viele Virenscanner haben solche Dateien bislang standardmäßig nicht überprüft. Bereits im Juli war ein Trojaner mit gültiger Signatur aufgetaucht. Dennoch haben offenbar viele Antivirenhersteller bereits eine Signatur für den neuen PDF-Trojaner bereitgestellt – nicht zuletzt aufgrund der guten und schnellen Kommunikation zwischen AV-Herstellern sowie unabhängigen Sicherheitsspezialisten und Malware-Analysten.
Da der Adobe Reader aufgrund seiner vielen Lücken seit Jahren im Visier von Kriminellen ist, will der Hersteller sein Produkt in einer kommenden Version durch den Einbau einer Sandbox aus der Schusslinie bringen. Sie soll Schreibzugriffe aus dem Reader heraus auf das Windows-System unterbinden. Veränderungen an der Registry oder Dateien auf der Festplatte soll sie ebenso verhindern wie das Starten von Prozessen oder Zugriffe auf Named Pipes oder Named Shared Memory. (dab)
