Sicherheitsexperte David Kierznowski hat Proof-of-Concept-Belege für den möglichen Missbrauch der weit verbreiteten Software Adobe Reader vorgelegt. Dabei soll nicht etwa der traditionelle Code-Fehler, sondern der Gebrauch legitimer Programmfunktionen als Schlupfloch für Malware dienen.
Nach aktuellen Ermittlungen eines Forschungsinstituts der US-Regierung sind Angriffe, bei denen Cross-Site-Scripting oder Web-orientierte Skriptsprachen zum Einsatz kommen, mittlerweile stärker verbreitet als die eher "traditionellen" Buffer-Overflows, die den Code von Desktop-Anwendungen betreffen. Wie Kierznowski in seiner Untersuchung beschreibt, sind PDF-Dokumente eine nahe liegende Zielscheibe, da sie Javascript unterstützen. Allerdings sei diese Erklärung nur teilweise zufrieden stellend, nicht zuletzt, weil Adobe sein eigenes Javascript-Modell unterstütze. Auch hätten Adobe Reader und Adobe Professional sehr verschiedene Restriktionen im Hinblick darauf, welche Javascript-Objekte zulässig sind.
Bei einer im Rahmen der Studie aufgeführten Test-Attacke wird ein bösartiger Link in ein PDF-Dokument eingebettet. "Ist das Dokument erst einmal geöffnet, wird der Browser des Nutzers automatisch hochgefahren und der Link geöffnet", so Kierzowski. Demzufolge sei das Starten beliebiger Malware möglich. Wird das Testdokument vom Desktop aus gestartet, erhält der Nutzer eine Warnung, bevor er den Link öffnet. Beim Start vom Web aus hingegen bleibt diese aus. "Sowohl Adobe 6 als auch 7 haben mich vor dem Start dieser URLs nicht gewarnt", schreibt der Sicherheitsforscher. Das Dokument funktioniert mit voll gepatchten Versionen des Adobe Reader unter Windows und Mac OS X. Andere PDF-Reader wie "Foxit" oder die "Vorschau" von Mac OS X sollen diesbezüglich nicht zu manipulieren sein.
Bei einer zweiten Attacke wird Adobes Adobe Database Connectivity (ADBC) und Web Services Support genutzt. Der entsprechende Proof-of-Concept-Code greift auf die Windows Open Database Connectivity (ODBC) zu, listet die verfügbaren Datenbanken auf und schickt diese Information dann via Web-Service an "localhost".
Kierzowski vermutet, dass über eigentlich legitime Features ähnliche Exploits auch für HTML-Formulare, Dateisystemzugriffe und andere Features zu realisieren sind. "Ich bin sicher, dass sich mit etwas mehr Kreativität sogar noch einfachere und/oder raffiniertere Attacken umsetzen lassen", so der Experte. Theoretisch sei es möglich, jedes PDF mit einer Hintertür zu versehen, indem man ein Javascript in das Skriptverzeichnis von Acrobat lädt.
Adobe hegt indes keine unmittelbaren Änderungspläne im Hinblick auf den Umgang seiner Produkte mit Javascript. Man sei sich jedoch der dahingehenden Forschung bewusst und untersuche die Angelegenheit derzeit selbst, so der Hersteller. (kf)