Immer noch kein Patch für Acrobat Reader

Neue Attacke ohne Doppelklick

09.03.2009
Uli Ries ist freier Journalist in München.
Anzeige  Erst am 11. März will Adobe die seit Januar bekannte Lücke im extrem weit verbreiteten Acrobat Reader schließen. Jetzt ist eine neue Attacke aufgetaucht, die PCs infiziert, ohne dass der Anwender das infizierte PDF öffnen muss. Selbst ein einzelner Klick oder das Ruhen des Mauszeigers auf dem Dokument genügt.
Nach wie vor gefährdet: Acrobat Reader kann als Einfallstor für Malware dienen.
Nach wie vor gefährdet: Acrobat Reader kann als Einfallstor für Malware dienen.

Laut Antiviren-Experten wie Symantec wird die von Adobe bestätigte und in sämtlichen Versionen des Acrobat Readers existierende Lücke bereits seit Anfang Januar aktiv ausgenutzt. Betroffen sind sowohl Windows- als auch Mac-OS-X-Systeme. Jetzt hat der Sicherheitsexperte Didier Stevens eine neue Variante der Attacke veröffentlicht, die zwar nicht unter Mac OS X funktioniert, dafür aber ohne weiteres Zutun des Anwenders zur Infektion von Windows-PCs mit Malware führt.

Wie ein Videoclip in Stevens‘ Weblog belegt, wird die Lücke in den Acrobat-Reader-Komponenten auch dann zum Sicherheitsproblem, wenn ein Anwender die mit Malware verseuchte PDF-Datei im Windows Explorer lediglich einmal anklickt oder gar nur den Mauszeiger über der Datei ruhen lässt. Und selbst die simple Anzeige des Ordners, in der die Datei liegt, ist eine Gefahr. Zumindest dann, wenn die „Miniaturansicht“ im Explorer gewählt wurde. In all diesen Fällen ruft der Explorer automatisch die von Acrobat Reader mit installierte Windows-Explorer-Shell-Erweiterung auf. Die Erweiterung nutzt Funktionen der DLL, in der die Sicherheitslücke entdeckt wurde. Sicherheitsexperte Stevens gibt an, dass seine Proof-of-Concept-Attacken auf einem vollständig gepatchten Windows XP SP2 funktionieren. Er geht jedoch davon aus, dass auch andere Windows-Varianten angreifbar sind.

Auch die Suchfunktion von Windows kann den Schadcode aktivieren: Der von der Windows-Suche benötigte Windows-Index-Service greift beim Erstellen des Index ebenfalls auf die fehlerhafte Adobe-DLL zurück. Zumindest unter Windows XP Service Pack 2 ist der Indexdienst aber nicht standardmäßig aktiviert.
Um die neuen Attacken von Didier Stevens abzuwehren, genügt es nicht mehr, JavaScript im Acrobat Reader abzuschalten. Dies ist ein wirksames Mittel gegen die bislang kursierenden Attacken. Stevens hingegen nutzt JavaScript nicht. Daher bleibt IT-Verantwortlichen nur, die Shell Extension zu deaktivieren. Hierzu bieten sich die Freeware-Tools ShellExView von Nirsoft oder Microsoft Autoruns.

Angesichts der neuartigen, weiter verfeinerten Angriffsmethoden sollten Administratoren den für 11. März versprochenen Acrobat-Reader-Patch umgehend testen und auf alle PCs im Unternehmen zu verteilen.