Black Hat 2020: Vom DoS bis zum Datenklau - Angriffe über PDF-Dokumente

Wer sich mit PDFs gegenüber Office-Dokumenten in Sicherheit wiegt, liegt falsch. Auf der Black Hat 2020 zeigte Jens Müller mehrere mögliche Angriffe.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
PDF
Update
Lesezeit: 3 Min.
Von
  • Lukas Grunwald

Viele Nutzer sehen PDF-Dateien als ein vermeintlich sicheres Datenauschtauschformat für Rechnungen, Verträge und Formulare gegenüber Office-Suiten mit ihren Makro-Viren und anderen Exploits an. Sicherheitsforscher Jens Müller hat sich im Rahmen der Black Hat 2020 mit dem PDF-Standard beschäftigt und zahlreiche Implementierungsprobleme vom manchmal nicht eindeutigen Standard sowie Sicherheitsfallen im täglichen Gebrauch gefunden.

Hierzu hat Müller hat mit einem Editor PDF-Dokumente manipuliert. Das Resultat: Er kann mit simplen Endlosschleifen, die beim Öffnen die CPU-Last in die Höhe treiben, oder mit in den PDF eingebetteten und wenige Byte großen ZIP-Bomben, die nach dem Öffnen jedoch mehrere Gigabytes des Arbeitsspeichers in Anspruch nehmen, sogenannte DoS-Angriffe (Denial of Service) durchführen. Außerdem hat er es geschafft, dass eingegebene Daten – zum Beispiel von Formularen – an eine externe URL gesendet werden; schlimmer noch, er kann zudem auf Dateien des Anwenders zugreifen und diese im Netz veröffentlichen.

Um an Benutzerpasswörtern zu gelangen, benutzt Müller einen Network-Share als Dateipfad, über den er einen Druckauftrag startet. Damit kann er den NT User Name und NTLM Hash klauen, um diesen über einen URL Backchannel auf eine beliebige URL im Internet zu transportieren. Somit können mit einem präparierten PDF-Dokument auch Login-Daten geklaut werden – der Hash muss nur noch durch bekannte Methoden geknackt werden. Und wenn das Opfer zum Beispiel ein VPN oder Cloud-Paket wie Office 365 verwendet, kann sich der Angreifer damit in vielen Fällen ebenfalls in der Infrastruktur der Firma anmelden.

Darüber hinaus kann ein Hacker mit PDF-Dokumenten alle Dateien manipulieren, für die der Benutzer eine Schreibberechtigung hat. Ferner fand Müller eine Option zur Remote-Code-Ausführung, mit der ein Angreifer beliebigen im PDF geschmuggelten Code auf dem Zielsystem ausführen kann. Er betrachtet alle Angriffe, die eine Interaktion des Nutzers voraussetzen, als fehlgeschlagen: Oft genügt schon die Preview im Dateimanager – wie der Explorer oder Nautilus –, um den Angriff durchzuführen.

Leser finden den auf der Black Hat 2020 gezeigten Proof of Concept und weitere Tools auf GitHub. Jens Müller forscht am Lehrstuhl für Netz- und Datensicherheit der Ruhr Universität Bochum.

[Update 10.08.2020, 15:00 Uhr:] Mehr oder weniger betroffen und getestet sind 18 PDF-Reader unter Windows, zwei unter macOS, drei unter Linux sowie die Webbrowser Chrome, Firefox, Safari, Opera und Edge – unter zahlreichen Systemen von Windows 10 bis Android und Linux. Details hierzu finden Leser auf einer Informationsgrafik zum Vortrag.

(fo)