image

Hackers breken uit sandbox Adobe Reader

donderdag 14 februari 2013, 10:17 door Redactie, 6 reacties

Adobe heeft bevestigd dat er niet één maar twee zero-day beveiligingslekken in Adobe Reader en Acrobat zitten waardoor aanvallers op dit moment actief computers overnemen. De kwetsbaarheden bevinden zich in de meest recente versies van Adobe Reader en Acrobat 9.5.3, 10.1.5 (X) en 11.0.01 (XI) voor zowel Windows als Mac. De aanval werd door beveiligingsbedrijf FireEye ontdekt.

Het openen van een PDF die via de e-mail wordt verstuurd is voldoende om aanvallers volledige controle over de computer te geven. Het is voor het eerst dat aanvallers erin zijn geslaagd om uit de sandbox-beveiliging van Adobe Reader te beken. Eerdere exploits tegen de PDF-lezer werkten niet tegen de nieuwste versie. Door de sandbox heeft een aanvaller namelijk twee lekken nodig.

Eén voor de sandbox en één voor de applicatie zelf. Beveiligingsbedrijf FireEye stelt in een nieuwe analyse dat de exploits ook de Data Execution Prevention (DEP) en Address space layout randomization (ASLR) beveiligingsmaatregelen omzeilen, die het lastiger voor aanvallers moeten maken om een kwetsbaarheid te misbruiken.

Oplossing
Adobe werkt inmiddels aan een update, maar weet nog niet wanneer die beschikbaar is. Gebruikers van Adobe Reader XI en Acrobat XI voor Windows kunnen zich beschermen door Protected View in te schakelen. Standaard schakelt Adobe Reader de 'Protected Mode' in, maar dat geldt niet voor de Protected View.

Dit is in te schakelen via Edit > Preferences > Security (Enhanced) menu > "Files from potentially unsafe locations". Voor systeembeheerders in organisaties is de mogelijkheid om Protected View via een registeraanpassing via GPO of andere methode uit te rollen.

Reacties (6)
14-02-2013, 10:58 door [Account Verwijderd]
[Verwijderd]
14-02-2013, 12:40 door Anoniem
Ja, want een ander reader heeft geen sandbox om uit te kunnen breken...
14-02-2013, 13:40 door Anoniem
ASLR en DEP zijn een wassenneus, de enige echte meerwaarde ligt in het feit dat prehistorische exploits dus niet meer kunnen werken, maar verder kan zelfs een scriptkiddie googlen hoe ASLR en DEP te omzeilen zijn ...

En Adobe Reader staat al jaren op eenzame hoogte (met Java op #2 dacht ik) qua kwetsbaarheden; ook niet zo gek als je een pakket van 100 tot 300MB levert voor het lezen van een PDFje (terwijl 99% van die functionaliteit ook in 3MB past), inclusief een Adobe Licensing Windows Service die onder SYSTEM draait, met al jaren een gratis ActiveX interface & backdoor ...
14-02-2013, 16:58 door Anoniem
Voor Vista is geen Adobe Reader 11 beschikbaar. Reader 10 heeft geen protected view, dus Vista gebruikers kunnen het schudden.
14-02-2013, 18:37 door [Account Verwijderd]
[Verwijderd]
15-02-2013, 18:40 door choi
Door Krakatau:
Door Anoniem:
Door Peter V: Nog een reden om Adobe Reader te plompen.
Ja, want een ander reader heeft geen sandbox om uit te kunnen breken...
Geen sandbox is niet beter maar slechter: de sandbox is bedoeld om kwaadwillenden buiten de deur te houden door ze in een sandbox op te sluiten. Het kan gebeuren dat men uit de sandbox weet te breken maar hoe dan ook is het beter dan helemaal geen sandbox! (Want dan ontbreekt die extra beschermingslaag.)

Ooit van ironie gehoord?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.