In de aanval wordt malware toegevoegd aan legitieme pdf’s, en die kunnen vervolgens iedereen besmetten die ze opent. De aanval maakt gebruik van een zwakheid in de manier waarop het pdf bestandsformaat werkt.

Jeremy Conway had al een techniek ontworpen voor het injecteren van kwaadaardige commando’s in pdf’s. Maar zijn aanval werkte alleen als er nog een ander kwaadaardig programma op de computer stond dat de code aan de pdf toevoegde. Maar die situatie veranderde totaal toen Didier Stevens liet zien hoe je met een pdf code kon uitvoeren op een computer. Met die input kon Conway zijn aanval helemaal vanuit een pdf uitvoeren.

Het enige probleem dat Conway heeft is dat Adobe Reader (en ook Foxit Reader na de patch van afgelopen week) een dialoogvenster opent met de vraag of de code echt uitgevoerd moet worden. Maar in een video laat Conway zien dat hij zijn aanval uitvoert met zijn eigen tekst in dat venster. Door daar een tekst te laten zien als “Click ‘Open’ to unencrypt this file” kan een aanvaller zijn kansen op succes een heel stuk vergroten.

Klikt het slachtoffer inderdaad op ‘Open’, wat ongetwijfeld veel mensen zullen doen, dan wordt het commando uitgevoerd en werkt de aanval van Conway als een worm. Elke soort kwaadaardige code kan dan worden gekopieerd naar andere pdf-bestanden op de computer van het slachtoffer. De malware die wordt gekopieerd kan bekende pdf-malware zijn, maar het kan ook de volgende 0-day zijn, aldus Conway. Hij denkt dan ook niet dat veel bedrijven voorbereid zijn op dit soort aanvallen.

Conway heeft zijn aanval niet openbaar gemaakt, dus criminelen hebben niet zomaar toegang tot de techniek. Maar als ze dat eenmaal krijgen, dan kan deze aanval bijvoorbeeld ook worden gebruikt om kwaadaardige macro's aan Word documenten toe te voegen, aldus andere experts.

Bron: Techworld