Sicherheitsexperte David Kierznowski hat Proof-of-Concept-Belege für den möglichen Missbrauch der weit verbreiteten Software Adobe Reader vorgelegt. Dabei soll nicht etwa der traditionelle Codefehler, sondern der Gebrauch legitimer Programmfunktionen als Schlupfloch für Malware dienen.
Nach aktuellen Ermittlungen eines Forschungsinstituts der US-Regierung sind Angriffe, bei denen Cross-Site-Scripting oder Web-orientierte Skriptsprachen zum Einsatz kommen, heute stärker verbreitet als die eher "traditionellen" Buffer-Overflows, die den Code von Desktop-Anwendungen betreffen. Laut Kierznowski sind PDF-Dokumente eine nahe liegende Zielscheibe, da sie Javascript unterstützen. Allerdings stelle diese Erklärung nur teilweise zufrieden, nicht zuletzt, weil Adobe sein eigenes Javascript-Modell unterstütze. Auch hätten Adobe Reader und Adobe Professional sehr verschiedene Restriktionen im Hinblick darauf, welche Javascript-Objekte zulässig sind.
Bei einer in der Untersuchung beschriebenen Testattacke wird ein bösartiger Link in ein PDF-Dokument eingebettet. "Ist das Dokument erst einmal geöffnet, wird der Browser des Nutzers automatisch hochgefahren und der Link geöffnet", so Kierznowski. Demzufolge sei das Starten beliebiger Malware möglich.
Auch ohne Warnung
Wird das Testdokument vom Desktop aus gestartet, erhält der Nutzer eine Warnung, bevor er den Link öffnet. Beim Start vom Web aus hingegen bleibt diese aus. "Sowohl Adobe 6 als auch 7 haben mich vor dem Start dieser URLs nicht gewarnt", schreibt der Sicherheitsforscher. Das Dokument funktioniert mit voll gepatchten Versionen des Adobe Reader unter Windows und Mac OS X. Andere PDF-Reader wie "Foxit" oder die "Vorschau" von Mac OS X sollen diesbezüglich nicht zu manipulieren sein.
Bei einem zweiten Angriff werden Adobes Adobe Database Connectivity (ADBC) und Web Services Support genutzt. Der entsprechende Proof-of-Concept-Code greift auf die Windows Open Database Connectivity (ODBC) zu, listet die verfügbaren Datenbanken auf und schickt diese Information dann via Web-Service an "localhost".
Kierznowski vermutet, dass über eigentlich legitime Features ähnliche Exploits auch für HTML-Formulare, Dateisystemzugriffe und andere Features zu realisieren sind. "Ich bin sicher, dass sich mit etwas mehr Kreativität noch einfachere und/oder raffiniertere Attacken umsetzen lassen", so der Experte. Im Prinzip sei es möglich, jedes PDF mit einer Hintertür zu versehen, indem man ein Javascript in das Skriptverzeichnis von Acrobat lädt.
Adobe hegt indes keine unmittelbaren Änderungspläne im Hinblick auf den Umgang seiner Produkte mit Javascript. Man sei sich jedoch der dahin gehenden Forschung bewusst und untersuche die Angelegenheit derzeit selbst, so der Hersteller. (kf)