Nadat eind maart door de Belgische beleggingsonderzoeker Didier Stevens ontdekt werd dat hackers op een simpele manier via PDF-bestanden malware kunnen verspreiden via de optie om ingebedde code uit te voeren, is er nu daadwerkelijk bewijs gevonden van misbruik hiervan. Het gaat om een trojan met de naam Troj/PDFEx-DF.

Het enige geluk bij een ongeluk lijkt nu te zijn dat gebruikers gewaarschuwd worden dat het om malware gaat door de monumentale spelfout in het woord ‘file’, dat geschreven is als ‘fiel’. Wie wel toestemming geeft om de code uit te voeren na het vraagvenster, installeert een trojaans paard genaamd ActiveX.exe in de c:\windows\system32\ map.

Maatregelen

Adobe heeft vandaag in hun patchronde het lek niet gedicht. Het lek kan dan ook niet met een normale patch worden gerepareerd, omdat het gaat om een kwetsbaarheid in het PDF-formaat zelf.

Een mogelijkheid volgens Adobe om op dit moment zeker te weten dat gebruikers niet geïnfecteerd kunnen worden, is om de optie ‘Allow opening of non-PDF file attachments with external applications’ uit te vinken. In Nederlandse versies vind je de optie terug bij ‘voorkeuren’, ‘betrouwbaarheidsbeheer’ en kun je de optie ‘Het openen van niet-PDF-bijlagen in externe toepassingen toestaan’ uitvinken. Systeembeheerders kunnen deze optie pushen bij clients door een registerwijziging.

Adobe overweegt verder om de functionaliteit van PDF te beperken wat betreft uitvoerbare code, om zo het lek te dichten.

Voorgeschiedenis

De aanval werkt op basis van een ontdekking die de onderzoeker Jeremy Conway al een tijdje terug had gedaan, waarbij hij blootlegde dat kwaadaardige commando’s geïnjecteerd konden worden in PDF-bestanden. Er was op zijn manier echter nog wel een reeds aanwezige kwaadaardige code nodig die al op de computer stond, en geactiveerd kon worden door middel van het PDF-lek. Met de ontdekking van Stevens, was dat al niet meer nodig en kon de aanval volledig vanuit PDF geschieden.

Bron: Techworld