Hackers gaan massaal voor Adobe
Vergeet Windows, Internet Explorer of QuickTime, cybercriminelen richten zich steeds vaker en exclusief op Adobe software, iets wat zelfs virusexperts verbaast. Security.nl sprak met Roel Schouwenberg van Kaspersky Lab, die inmiddels op een kruistocht is om gebruikers en bedrijven voor het gevaar van Adobe Reader en Flash Player te waarschuwen. "Adobe moet echt een stuk beter zijn werk doen", aldus de Nederlandse virusexpert die inmiddels in Amerika werkzaam is.
Adobe kondigde enige tijd geleden aan dat het haar leven zou beteren. Zo werd er een begin gemaakt met een eigen patchdinsdag en zou het voortaan veiliger gaan programmeren. Vanwege een noodpatch zag het bedrijf zich gedwongen om de net gestarte patchcyclus alweer te onderbreken en werd de volgende patchdinsdag uitgesteld. Schouwenberg is er niet van overtuigd dat Adobe op het juiste pad zit. "Ik zie het niet. Tot nu toe is het niet meer dan woorden."
Nieuwe Microsoft
Volgens de virusexpert bevindt Adobe zich in een positie waar Microsoft zich voor Windows XP Service Pack 2 in bevond, alweer 5 jaar geleden. "Als je het commentaar van Adobe hoort dan heb je niet zoiets dat deze mensen het snappen." Security staat bij de meeste bedrijven die niet direct worden aangevallen hoog op de prioriteitenlijst. "Maar bij Adobe is het al sinds 2007 duidelijk dat ze worden aangevallen en de laatste 6 maanden is het echt uit de hand gelopen."
De nieuwe generatie exploittoolkits maakt zich niet meer druk om Windows of Internet Explorer. "Er wordt alleen maar PDF en Flash gedaan." Iets waar zelfs Schouwenberg van stond te kijken. "Dat toont aan dat ze zich niet meer om andere exploits bekommeren." Het probleem wordt mede veroorzaakt doordat Adobe een monocultuur is. Hij wijst daarbij naar recente statistieken die laten zien dat zo'n 80% van de internetgebruikers met een lekke Flash en PDF versie surfen.
Features
De updater van zowel Flash als Adobe zou elke dag op updates moeten controleren, iets wat nu niet het geval is. Schouwenberg vindt dat dit voor alle browserplugins en programma's die met het internet werken moet gelden. De virusanalist noemt het prijzenswaardig dat inmiddels Firefox de zaken voor Adobe waarneemt. De opensource browser waarschuwt gebruikers als ze een kwetsbare Adobe plugin hebben draaien.
"Adobe zou het natuurlijk zelf ook wat beter kunnen doen." Wat betreft security ziet hij dat Adobe dat niet als hoogste prioriteit heeft en voornamelijk met het toevoegen van nieuwe features bezig is. Zoals het toevoegen van DRM aan Flash Player, iets wat volgens Schouwenberg ook interessant voor virusschrijvers kan zijn. In het verleden is al vaker de DRM-functie van Windows Media Player misbruikt voor het infecteren van systemen. "Ik ben nog niet bekend met de implementatie, maar het kan mij het leven lastiger maken."
Prioriteiten
Schouwenberg vraagt zich af of Adobe als commercieel bedrijf zich wel om de veiligheid van de eigen producten bekommert, een houding die hij in het verleden ook bij Microsoft zag. "En die zijn daar helemaal op teruggekomen." Daarbij speelt ook een rol dat er nauwelijks concurrentie voor Adobe Reader en Flash Player is. Er zijn wel PDF-readers zoals Foxit Reader, maar voor Flash is er helemaal niets. "Dat is een probleem."
De meeste exploits richten zich echter op Adobe Reader. Daarbij gebruiken de aanvallers vaak verschillende exploits tegelijkertijd, wat het leven voor anti-virusbedrijven weet iets makkelijker maakt. "Als een virusbestrijder bijvoorbeeld één van de vier exploits herkent, herkent hij de aanval nog steeds." De meeste exploits zitten verstopt in Adobe's implementatie van JavaScript. "Dan heb je ook nog het verschil tussen de PDF standaard en wat Adobe Reader daadwerkelijk doet, dat doet ook denken aan Microsoft in dat opzicht." Het gaat dan om de afspraken die men op papier maakt, maar in de werkelijkheid extra aanpassingen maakt. Zoals het laden van HTML en executables in IE. Ook bij Adobe Reader houdt men zich niet strikt aan die regels, waardoor bepaalde zaken toch door het programma gelezen worden.
Marktleider
Vanwege alle problemen met beveiliging en malware, zou men verwachten dat er een levendige communicatie tussen Adobe en bijvoorbeeld anti-virusbedrijven is, maar dat blijkt niet het geval. "Tot nu toe is het een erg lastig communicatieproces met Adobe", zo verzucht Schouwenberg. Vanwege het aantal zero-day lekken en dat Adobe bijvoorbeeld in het begin van dit jaar een lek in de doofpot probeerde te verstoppen, doen bedrijven en gebruikers er volgens hem verstandig aan om een alternatief te zoeken.
De virusanalist merkt op dat ook alternatieven zoals Foxit Reader, uiteindelijk het doelwit van virusschrijvers kunnen worden als ze voldoende marktaandeel weten te veroveren. "Idealiter gebruikt iedereen dus wat anders." Dat het ook anders kan laat Microsoft zien. "IE8 lijkt nu redelijk veilig als je kijkt naar lekken die IE7 raken, maar niet IE8. Maar met PDF's als het op de marktleider aankomt, dan is het wel duidelijk dat je daar beter bij weg kunt blijven."
1. Elk denkbaar systeem heeft flash en PDF reader geïnstalleerd dus grote target gebied.
2. Adobe is slecht met het verhelpen van exploits.
Dus voor cybercriminelen 2 hele grote redenen om juist zo virussen op iemands systeem te krijgen.
vraag aan een willekeurig iemand waar je een PDF bestand mee moeten openen, 99% zou zeggen Adobe Acrobat reader
Macromedia... Dat waren nog jongens met hart voor de zaak. Adobe is al lang geleden vervallen in een soort graaicultuur waarbij marktaandeel en geld de sleutelwoorden zijn. Ze komen er vanzelf wel achter. Langzaam maar zeker wordt het net overspoeld met artikelen waarin wordt gewaarschuwd voor de producten van adobe en dat ook nog door mensen die weten waar ze het over hebben. Ze graven hun eigen graf of ze doen er wat aan.
Rex.
offtopic: persoonlijk hoop ik dat andere producten van dit bedrijf er ook schade door oplopen. Ik heb het niet zo op graaiers... (Nu druk ik me EXTREEM subtiel uit)
Flash: swfdec, gnash
PDF: xpdf, kpdf, gv, poppler etc.
Frans
Dus in die zin vind ik het graf voor flash niet zo erg.
Voor de flash filmpjes is het jammer, maar daar zijn toch genoeg alternatieven voor, b.v. MP4, dat is nog mooi standaard ook.
Foxit is prima voor pdf, megasnel.
Andere alternatieve zoals bijvoorbeeld SumatraPDF werken 'aardig', maar toch mist het teveel functies om zomaar een upgrade door te voeren (ik heb het tijdelijk gedaan, door teveel problemen terug naar Adobe). Gebruikers missen vrij basis functionaliteiten.
Nee, voor Windows is er gewoon geen werkend alternatief. De ene reader is niet beheersbaar, de andere mist functies, de derde heeft een renderengine waarmee teveel PDF documenten niet geopend kunnen worden, of verkeerd worden weergegeven.
Neem ik een willekeurige PDF reader voor linux, deze werken wel correct. Ieder document wat problemen had met andere (3rd party) oplossingen onder Windows, werkte zonder probleem onder linux PDF readers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!