Adobes Kampf gegen die Zero-Day-Schwachstellen im PDF-Format Exploits für PDF-Schwachstellen in Adobe Reader und Acrobat

Autor / Redakteur: Martin Dombrowski / Peter Schmitz

Die Zero-Day-Schwachstellen für Adobe Programme nehmen kein Ende. Kaum ist eine Lücke in Flash gestopft tauchen schon wieder neue auf, diesesmal in den PDF-Tools Adobe Reader und Acrobat. Die Exploits zu den Schwachstellen sind bereits bei Malware „in the wild“ aufgetaucht und für das Metasploit Framework gibt es auch schon das fertige Modul, mit dem man das passende Exploit zur Ausnutzung der Sicherheitslücke erstellen kann. Nur auf den Patch warten die User noch immer.

Anbieter zum Thema

Am 06. September erhielt der Security-Experte Mila Parkour eine E-Mail, die zuerst SPAM zu sein schien (siehe Bilderstrecke). Bei der Analyse der angehängten PDF-Datei stellte sich jedoch recht schnell heraus, dass es sich hierbei um ein unbekanntes PDF-Exploit handelte. Am 08. September erschien von Adobe ein Security Advisory (CVE-2010-2883) zu der Zero-Day-Schwachstelle im Adobe Reader und Acrobat, die sich auf die von Mila Parkour gefundene Schwachstelle bezieht.

Adobe kündigte ein Patch frühestens in KW40 an. Bei der Betrachtung des Verlaufs der Geschehenisse fällt auf, dass es wie schon so oft in der Vergangenheit, mehrere Wochen dauert bis eine gefundene Schwachstelle durch ein entsprechendes Sicherheitsupdate geschlossen wird.

Bildergalerie

Adobe verschluckt sich bei der Verarbeitung des SING-Fonts

Die Schwachstelle befindet sich in der Bibliothek “CoolType.dll” und kann durch eine PDF-Datei mit einem speziell präparierten Smart Independent Glyphlets (SING) Font zur Ausführung von Schadcode genutzt werden.

Antiviren-Hersteller berichten darüber, dass der eingeschleuste Schadcode über “Return Oriented Programming” (ROP) Schutzfunktionen wie das DEP und das ASLR umgehen kann. DEP (Data Execution Prevention) ist eine Sicherheitsfunktion, welche es verhindert, Code in nicht legitimen Speicherbereichen auszuführen. ASLR (Address space layout randomization) dient dem erschweren von erfolgreichen Angriffen auf Systemen, indem verschiedene Speicherbereiche des Programms (Stack, Heap, PEB, TEB, Bibliotheken) an undeterministischen Positionen im Speicher abgelegt werden. Da sich diese mit jedem Aufruf des Programms verändern, wird es massiv erschwert stabile Exploits für Sicherheitslücken in der Software zu schreiben.

Inhalt

  • Seite 1: Neue Zero-Day-Schwachstellen im PDF-Format
  • Seite 2: Ähnlichkeiten zu “Operation Aurora” gegen Google

Inzwischen gibt es aber auch Varianten dieser Malware, die eine gültige Signatur der “Vantage Credit Union” aus den USA besitzen (siehe Bilderstrecke). Gestohlene Signatur-Zertifikate zum signieren von Malware zu benutzen, scheint mittlerweile eine gängige Praxis zu werden. Das zugehörige Signier-Zertifikat wurde mittlerweile von Verisign zurückgezogen. Des weiteren wurden schon Versionen der Malware gesichtet, die die Adobe Version prüfen, und falls diese für das Exploit zu alt ist, den Benutzer direkt zum Update auffordern.

Ähnlichkeiten zu “Operation Aurora” gegen Google

Symantec ging bei der bisherigen Analyse einen Schritt weiter. Ihre Ermittlungen haben gezeigt, dass es starke Parallelen zu dem gezielten Angriff auf Google und andere Unternehmen gegen Ende 2009 gibt. Die E-Mails haben einen sehr ähnlichen Stil und zudem konnte als Quelle der meisten E-Mails eine Provinz in China ermittelt werden, in der auch die Spur zu den Angreifern der “Operation Aurora” endete.

Fazit

Mit Wehmut erinnert man sich an die Zeit zurück wo Malware noch in einer ausführbaren Datei steckte und es ausreichte, sensibel genug zu sein um bestimmte Dateiformate unbekannter Quelle nicht zu öffnen. Heutzutage finden die meisten Infektionen über Drive-by-Downloads statt. Hierbei reicht es aus mit dem Browser beim Surfen auf eine Webseite zu gelangen die ein iFrame mit Schadcode enthält.

Diese iFrames beinhalten eine Sammlung an Exploits. Als wenn das nun nicht genug wäre, kommt nun das PDF Format zu der Liste an Dateiformaten, bei denen man vor der Öffnung sich über die Herkunft Gedanken machen sollte. Ein sicherer Weg im Umgang mit diesen aktuellen Sicherheitslücken ist es online PDF-Viewer oder gegebenenfalls eine virtuelle Testumgebung hierfür zu nutzen.

Zudem sollte eine Browsererweiterung aktiv verwendet werden die Interaktive Inhalte blocken kann. Ein Beispiel hierfür ist das Plugin NoScript für den Firefox Browser. Bei der Benutzung solcher Plugins muss man sich bewusst machen, dass dabei die Funktionsweise und Anzeige einer Webseite, je nach Restriktionsstufe sehr stark beeinflusst werden kann. Zusammengefasst kann man hier sagen, dass in diesem Fall ein Plus an Sicherheit mit vielen Einschränkungen einher geht.

Inhalt

  • Seite 1: Neue Zero-Day-Schwachstellen im PDF-Format
  • Seite 2: Ähnlichkeiten zu “Operation Aurora” gegen Google

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:2047499)