Bojan Zdrnja heeft de opgedoken exploit geanalyseerd en schrijft er lovend over op Internet Storm Center. Op het eerste gezicht was er niets bijzonders te zien aan het verdachte PDF-document dat door een lezer was opgestuurd. Verdachte PDF files zijn vandaag de dag niet bepaald zeldzaam. Een snelle analyse bevestigde dat het inderdaad gebruik maakte van het gat in de Adobe software. Bovendien werd het maar door 6 van de 40 antiviruspakketten gedetecteerd.

Tweetrapsraket

Het verrassende is dat de code slechts 38 bytes groot is. Het is dan ook een tweetrapsraket. Deze code spreekt een ander deel van de PDF aan, dat is gemarkeerd als een kleur-object en dat simpelweg gecorrumpeerd lijkt. Adobe Reader laadt het hele document in het geheugen, inclusief dit ‘gecorrumpeerde’ object, zodat de initiële JavaScript shell code het kan vinden en uitvoeren.

Het voordeel hiervan is duidelijk, aldus Zdrnja. De aanvaller kan deze code aanpassen zonder dat hij aan de eerste shell code hoeft te komen. Bovendien maakt het automatische analyse onmogelijk voor tools die een JavaScript interpreter gebruiken.

Tweede verrassing

De tweede fase bestaat ook uit twee elementen. Eerst wordt er een achterdeur geïnstalleerd die contact probeert te maken met een host. Hiervandaan hoeft niets te worden gedownload om volledige controle te krijgen over de machine. Het tweede element is weer een verrassing. Het opent een PDF in Reader. Dit wordt volgens de schrijver gedaan om zand in de ogen te strooien van de gebruiker. Reader crasht namelijk bij het uitvoeren van de exploit. Als er toch een document wordt geopend lijkt het alsof er niets aan de hand is.

Volgens Zdrnja wordt hier weer een harde les geleerd. Deze exploit laat zien hoe ver aanvallers willen gaan om hun malware zo onzichtbaar mogelijk te maken, niet alleen voor anti-viruspakketten, maar ook voor gebruikers. Het gat in Adobe Reader is nog niet gepatcht, dus raadt Zdrnja iedereen aan om JavaScript in Adobe Reader uit te schakelen. Gebruikers zullen namelijk geen argwaan krijgen als er gewoon een PDF wordt geopend. Ze kunnen denken dat het per ongeluk naar hen toe is gestuurd.

Stille updater

Het goede nieuws is dat Adobe aan een stille updater werkt waarmee gaten in Reader, Acrobat en Flash snel en zonder tussenkomst van de gebruiker kunnen worden gedicht. Adobe ligt al maanden onder vuur vanwege een te laks patchbeleid, terwijl de software van Adobe op vrijwel alle computers is geïnstalleerd. Daardoor vormt het een perfect doelwit voor cybercriminelen.

Bron: Techworld