Alert!

Foxit PDF Reader: Halbherzige Zertifikatprüfung ermöglicht Rechteausweitung

Die Update-Routinen vom Foxit PDF Reader prüfen Zertifikate nicht richtig. Angreifer können dadurch ihre Rechte ausweiten.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Foxit-Logo mit Update-Stempel

(Bild: heise online)

Lesezeit: 2 Min.
Von

Die IT-Sicherheitsforscher von Talos warnen vor einer Sicherheitslücke im Foxit PDF Reader. Angreifer können ihre Rechte im System durch das Leck ausweiten.

In ihrer Analyse erläutern die IT-Analysten, dass aufgrund einer unzureichenden Zertifikatsprüfung im ausführbaren Updater Angreifer mit niedrigen Rechten den Update-Prozess starten und im Zuge dessen ihre Rechte ausweiten können (CVE-2024-29072, CVSS 8.2, Risiko "hoch")

Bei der Suche nach Updates schreibt FoxitPDFReader.exe die Datei FoxitPDFReaderUpdater.exe in das Verzeichnis %APPDAT%\Foxit Software\Continuous\Addon\Foxit PDF Reader. Der PDF-Reader läuft dabei mit den Nutzerrechten. Der Dienst FoxitPDFReaderUpdateService.exe ruft dann CryptQueryObject auf der abgelegten Updater-Datei auf, um Zertifikatsinformationen auszulesen. Damit prüft Foxit, ob die Datei signiert ist. Das Zertifikat selbst wird jedoch nicht weiter überprüft. Der prüfende Dienst FoxitPDFReaderUpdateService.exe läuft im SYSTEM-Kontext. Wenn die Updater-Datei signiert ist, startet der Dienst diese ausführbare Datei mit SYSTEM-Rechten.

Standardnutzer haben jedoch volle Zugriffsrechte auf die Updater-Datei und können diese löschen oder anlegen. Die Talos-IT-Forscher weisen darauf hin, dass es reicht, eine ausführbare Datei mit einem selbsterstellten Zertifikat mit dem Visual Studio-Werkzeug signtool.exe zu signieren. Damit wird beliebiger Code im hoch privilegierten SYSTEM-Kontext ausgeführt, wenn Angreifer die Update-Datei schnell genug ersetzen.

Die Sicherheitslücke findet sich im Foxit Reader 2024.2.0.25138. Laut Versionsverlauf von Foxit wurde die am 28. April veröffentlicht. Der Foxit PDF Reader 2024.2.1.25153 vom 17. Mai korrigiert laut Changelog keine Sicherheitslücken, erschien jedoch nach der Meldung der Lücke an Foxit. Am Sonntag, dem 26. Mai, soll ein Patch erschienen sein. Allerdings nennen weder Talos noch Foxit zugehörige Versionsnummern. Wer Foxit PDF Reader nutzt, sollte die aktuell bereitgestellte Installationsdatei herunterladen und damit den Reader aktualisieren. Der derzeit angebotene Installer trägt die Nummer 2024.2.2.25170 und ist demnach auf neuerem Stand, als die Webseite dokumentiert. Signiert wurde der deutschsprachige Installer am 23.05.2024, was zu dem Veröffentlichungszeitplan passen kann.

In den Foxit-PDF-Programmen finden IT-Sicherheitsforscher immer wieder Sicherheitslücken. Etwa im vergangenen November im Foxit PDF Reader und PDF Editor. Angreifer hatten dort Schwachstellen missbrauchen können, um Schadcode mit manipulierten Dokumenten einzuschleusen und auszuführen.

(dmk)