Nieuws
image

Ongeopende PDF kan computer toch besmetten

donderdag 5 maart 2009, 12:16 door Redactie, 14 reacties

De Belgische beveiligingsonderzoeker Didier Stevens heeft drie manieren ontdekt waardoor het voor malware toch mogelijk is om een computer te besmetten, ook al opent de gebruiker het bestand niet. Grote boosdoener is de Windows Explorer Shell Extensie. Wie bijvoorbeeld WinZip installeert krijgt via de rechtermuisknop allerlei extra opties, zoals het uitpakken of inpakken van een bestand. In het geval van Adobe Acrobat Reader wordt de Column Handler Shell Extensie geïnstalleerd.

Een column handler is een speciaal programma dat de Windows Explorer extra gegevens van ondersteunde bestanden laat weergeven. In het geval van PDF documenten opent de PDF column handler het document om de benodigde informatie te vinden, zoals de titel en auteur. Zonder dat de gebruiker het bestand opent, wordt de inhoud toch door Windows Explorer gelezen. Hierbij zijn er drie manieren om malware uit te laten voeren:

1: De gebruiker selecteert het bestand (dus éénmaal klikken, niet openen).
2: Windows explorer met Thumbnails view.
3: Met de muiscursor boven het bestand gaan staan (niet klikken) tot de tooltip verschijnt.

"Wees dus zeer voorzichtig met het werken met kwaadaardige bestanden, je zou het bestand per ongeluk kunnen uitvoeren, zonder het zelf te openen. Daarom wijzig ik altijd de extensie van malware en verwerk ze in een geïsoleerd viruslaboratorium. Buiten het lab versleutel ik de malware", aldus Stevens. Op deze pagina heeft hij de aanvallen uitgewerkt en is een video van de exploit in actie te zien.

Reacties (14)
05-03-2009, 12:35 door Didier Stevens
Ter info: in de video gebruik ik Adobe Acrobat Reader 9 en Windows XP SP2.
05-03-2009, 12:59 door Willem 2
Huh? Windows de grote boosdoener? Mij lijkt toch echt dat hier Acrobat Reader de grote boosdoener is. DIE is lek. Anders kun je wel alle fouten in software van derden elke keer weer op het bordje van Microsoft leggen, maar dat is gewoon niet eerlijk. Als een loodgieter in mijn huis een nieuwe verwarming plaatst en daardoor raakt mijn huis beschadigd, is dat de schuld van die loodgieter, niet van mijn huis (en hier zie ik Windows dan als mijn huis).
05-03-2009, 13:03 door Didier Stevens
Door Willem 2Huh? Windows de grote boosdoener? Mij lijkt toch echt dat hier Acrobat Reader de grote boosdoener is. DIE is lek.

Inderdaad, ik beweer ook niets anders. Wat Adobe doet is een eigen Windows Explorer Shell extensie toevoegen aan Windows. En die shell extensie gaat de lekke Adobe Acrobat code aanroepen.
05-03-2009, 13:41 door Arno Nimus
Het wordt tijd dat Adobe zichzelf eens gaat afvragen wat ze nou precies wel en (vooral) niet willen met Adobe Reader en vervolgens terug gaat naar de tekentafel om dat gedrocht eens helemaal te herschrijven.
05-03-2009, 14:39 door Anoniem
Ik vind dit een beetje een beperkte beschrijving.

"Hierbij zijn er drie manieren om malware uit te laten voeren"
Het stuk code dat geexploit zou moeten worden is hier dus de shell extention?
De exploit zit dan kennelijk in de metadata van het pdf bestand?

Zijn hier dan al voorbeelden van gevonden?
05-03-2009, 17:01 door Eerde
Niet openen, maar wel opemen voor de metadata gegevens, dus geopende ongeopende bestanden openen met de Windows Explorer Shell extensie de ongeopende geopende bestanden en hebben zo tot 3x toe toegang middels de malware die gebruik maakt van de gegevens uit de ongeopende geopende bestanden...
Zo ongeveer ;)

Of gewoon GNU/Linux draaien en je .pdf openen met Okular, een fantastisch programma !
05-03-2009, 17:16 door Didier Stevens
Of geen computer gebruiken ;-)
06-03-2009, 00:57 door Anoniem
ik heb niet eens een computer!
06-03-2009, 02:04 door Kukel
@Eerde:

ROTFLMAO... spot on..

Ik zeg niet dat het niet gevaarlijk kan zijn. Maar als het over JBIG(2) gaat, dan zou het toch ook voor alles wat een preview genereert gaan en metadata toont?

Oh.... shoot... Ik moet Linux opgeven omdat het daar ook gebeurt. En niet alleen voor PDF, voor bijna alles. Welk OS doet dat niet? Win 3.11?
06-03-2009, 09:39 door [Account Verwijderd]
[Verwijderd]
06-03-2009, 11:09 door Anoniem
Door Didier StevensTer info: in de video gebruik ik Adobe Acrobat Reader 9 en Windows XP SP2.

Mij zou interesseren of dat probleem is beperkt tot Adobe en WinZip. Gebruiken alle pdf-applicatie een handler ? (Bijv. Foxit) ?
06-03-2009, 12:53 door Didier Stevens
Door Anoniem
Door Didier StevensTer info: in de video gebruik ik Adobe Acrobat Reader 9 en Windows XP SP2.

Mij zou interesseren of dat probleem is beperkt tot Adobe en WinZip. Gebruiken alle pdf-applicatie een handler ? (Bijv. Foxit) ?

Nee, de gratis versie van Foxit reader installeert geen shell extension. Maar als je Foxit gaat gebruiken i.p.v. Acrobat en je verwijdert Acrobat niet, dan blijft de handler van Acrobat staan, en zou je zelfs de vulnerability kunnen triggeren in het "file open" dialoog venster van Foxit.
Ter verduidelijking, dit ligt niet aan Foxit, maar aan het feit dat de shell extensions ook actief zijn in het standaard open & save dialoog venster van Windows.

Maar het veiligste is gewoon voorzichtig omspringen met (PDF) bestanden van onbekende oorsprong. Open ze alleen maar als het strikt noodzakelijk is, en zo ben je al een heel stuk veiliger. Gewoon gezond verstand gebruiken.

Op Windows XP ben je voor PDF bestanden ook veel veiliger als je niet als local admin werkt op je systeem. Alle "echte" PDF malware (dus niet de proof-of-concept) die ik tot nu toe onderzocht heb doet uiteindelijk altijd hetzelfde: bestand downloaden van Internet, wegschrijven in \Windows\System32 en dan uitvoeren. Een gewone gebruiker mag niet in System32 schrijven, dus het wegschrijven lukt niet en de malware wordt niet uitgevoerd.

Als je nieuwsgierig bent naar welke shell extensions er allemaal geïnstalleerd zijn op je system, gebruik dan Autoruns van Sysinternals/Microsoft of ShellExView van Nirsoft.
06-03-2009, 18:08 door Anoniem
GJ -thx ! Uitermate nuttige info.
07-03-2009, 15:54 door Anoniem
En hoe zit dit met bijv. Foxit PDF Editor? Die gebruik ik liever dan Adobe Acrobat; overigens gebruik ik Internet Explorer niet, hoewel sommige progs. deze wél doen starten (heel vervelend!) ik gebruik vnl. Opera. Euphema
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure