Dit nieuwe beveiligingsrisico maakt geen gebruik van een gat in het pdf-formaat of in Adobe's software daarvoor. Het maakt gebruik van de ontdekking van de Belgische beveiligingsexpert Didier Stevens dat je uitvoerbare code kunt embedden in pdf-bestanden. Het enige dat er voor het uitvoeren van die code nodig is, is dat de gebruiker op OK klikt in een waarschuwingsvenster. Alleen kan de tekst in dat venster worden beïnvloed door de aanvaller.

Besmettingsfunctie

Dit lek zit in het bestandsformaat PDF zelf en werkt dus ook op alternatieve pdf-software zoals de Foxit Reader. De ontdekking Stevens is vervolgens door collega Jeremy Conway gecombineerd met een eigen aanval, waarin PDF-bestanden een besmettingsfunctie krijgen.

Conway heeft geen aanvalscode vrijgegeven, maar intussen is een soortgelijke aanval opgedoken. De Koreaanse blogger YunSoul heeft geheel onafhankelijk een eigen proof-of-concept gemaakt. Bij die aanval worden zelfs in één keer meerdere pdf-bestanden besmet door één malafide PDF. De aanval van Conway besmette slechts één pfd, maar hij claimde al dat het ook mogelijk was om er meerdere te besmetten. Dat blijkt nu dus te kloppen. In theorie is het zelfs mogelijk via deze pdf-wormen andere aanvallen te ondernemen, zoals het besmetten van Word-documenten met malafide macro's.

Functionaliteit beperken

Adobe, maar ook Foxit, kijkt nu welke maatregelen het kan nemen om misbruik van deze functionaliteit te beperken. Foxit heeft zijn readerprogramma al voorzien van een waarschuwingsvenster bij uitvoerbare code. Steve Gottwals van Adobe stelt dat de ontdekking van Stevens een goed voorbeeld is van een krachtige functie waar sommige gebruikers op vertrouwen, die echter ook potentiële security-risico's met zich meebrengt wanneer die functie incorrect wordt gebruikt door anderen.

Gottwals verwijst daarmee naar het waarschuwingsvenster dat Adobe Reader en Acrobat de gebruiker voorschotelen als er uitvoerbare code wordt aangeroepen. "Dat waarschuwingsbericht bevat krachtige bewoordingen die gebruikers adviseren het bestand alleen te openen en uit te voeren als het van een vertrouwde bron komt. De standaardoptie in dat dialoogvenster is het bestand niet uit te voeren."

Adobe neemt de zaak wel serieus en onderzoekt nu wat het moet doen aan deze functionaliteit. Gottwals meldt dat er mogelijk een wijziging wordt doorgevoerd in de geplande kwartaalupdates voor Adobe's PDF-software. Hij geeft eindgebruikers nog het advies de functionaliteit te beperken door via Voorkeuren deze optie in de Trust Manager uit te schakelen. Beheerders kunnen dat automatisch met een registerwijziging doorvoeren.

Te brede specificaties

Hoofdonderzoeker Mikko Hypponen van securityleverancier F-Secure blogt dat het PDF-bestandsformaat op zichzelf onveilig is, doordat het veel te veel functionaliteit bevat. "Adobe's PDF Reader krijgt veel kritiek voor de slechte beveiliging. Maar de problemen met PDF gaan verder dan een specifiek merk PDF-reader. Heb je wel eens naar de specificaties voor het bestandsformaat gekeken? Je kunt die hier downloaden (PDF) en ze zijn 756 pagina's lang. Serieus."

Hypponen zet enkele van de mogelijkheden van pdf op een rijtje. Dat formaat kan naast het veel misbruikte JavaScript en de nu ontdekte ingebedde executables ook mediabestanden, formulieren en andere functies in zich dragen. Formulieren kunnen bijvoorbeeld automatisch input van gebruikers uploaden naar een externe webserver.

Favoriet formaat

"Je kunt films en liedjes inbedden in PDF-bestanden. En ze kunnen 3D-objecten compleet met JavaScript bevatten. Wie bedenkt er dit soort dingen?", klaagt Hypponen. "Die onbekende features verklaren waarom PDF-applicaties zoals Adobe Reader er eeuwen over doen om te laden en waarom het bestandsformaat sinds een jaar zo'n grote favoriet is bij hackers." Hypponen adviseert om PDF-bestanden te openen in bijvoorbeeld Google Docs.

Demonstratie van Jeremy Conways aanval:

Demonstratie aanval van YunSoul:

Bron: Techworld