Computerworld News Service: Sikkerhedsekspert Jeremy Conway fortæller, at han har opdaget en ny måde at sprede ondsindet kode via PDF-dokumenter.
Angrebet udnytter en fejl i filformatet til PDF, der kan benyttes til at tilføje ondsindet data i legitime PDF-filer, som derefter kan bruges til at angribe det offer, der åbner dokumentet.
Jeremy Conway, der er produktchef ved NitroSecurity, har allerede udviklet en teknik, der kan anvendes til at tilføje kommandoer i PDF'er. Men hans angreb har tidligere kun fungeret, hvis der i forvejen fandtes et ondsindet program i det system, der tilføjer koden.
Det ændrede sig i sidste uge, da analytikeren Didier Stevens demonstrerede, hvordan man kan ændre et PDF-dokument, så den kan køre en executable fil på offerets computer.
Hackere har vidst i et stykke tid, at en PDF kan manipuleres på den måde, men Didier Stevens' angreb viser, hvordan en reader - Foxit Reader - kan køre executable-filer uden overhovedet at informere brugeren. Foxit har nu lappet problemet, men den underliggende fejl i PDF-standarden kan ikke rettes uden at ændre i selve standarden.
"Det er et eksempel på en kraftfuld funktionalitet, som en del brugere er afhængige af, men som indeholder potentielle risici, hvis den bliver anvendt forkert," fortæller en talskvinde for Adobe Systems i en e-mail.
Brugere, der gerne vil slukke for den Adobe Reader eller Acrobat-funktion, der muliggør angrebet, kan klikke "Edit > Preferences > Categories > Trust Manager > PDF File Attachments" og fjerne fluebenet i den boks, der hedder "Allow opening of non-PDF file attachments with external applications."
I version 3.2.1 af Foxit Reader, der udkom torsdag, fremkommer softwaren nu med en dialogboks, der spørger, om brugeren vil køre koden. Adobe Reader gør det samme.
Simpelt trick
I en video-demonstration af fejlen viser Jeremy Conway, hvordan han er i stand til at opbygge et ondsindet PDF-dokument med executable kode, der desuden indsætter sin egen tekst i Adobes advarsels-boks.
Ved for eksempel at skrive "Tryk 'åben' for at dekryptere denne fil", kan angriberen øge sine chancer for at få offeret til at åbne filen.
Hvis brugeren falder for tricket og giver koden tilladelse til at køre, så fungerer Jeremy Conways angreb som en orm, der kopierer det ondsindede indhold til andre PDF-filer på computeren.
Denne malware kan både bestå af velkendte PDF-angreb eller noget, der potentielt kan være meget værre. Det "kunne blive den næste bærer af et 0-dags angreb," advarer Jeremy Conway.
Han mener, at det er de færreste virksomheder, der er i stand til at imødegå denne teknik, hvis den bliver favnet af cyberkriminelle. "De fleste vil ikke kunne gennemgå hvert eneste dokument på brugernes computere for at sikre sig," siger han.
Jeremy Conway har ikke offentliggjort koden til angrebet, kun den video, der viser, hvordan det virker.
"PDF-angrebet kan desuden bruges til at tilføje ondsindede makroer i Word-dokumenter, fortæller Thierry Zoller, der er sikkerhedskonsulent ved Verizon Luxembourg.
"Man kan også nemt inficere alle mulige andre ting," tilføjer han.
Oversat af Marie Dyekjær Eriksen
