image

Microsoft waarschuwt voor Adobe Reader exploit

dinsdag 9 maart 2010, 09:13 door Redactie, 11 reacties

Microsoft waarschuwt gebruikers van Adobe Reader voor kwaadaardige PDF-bestanden die een zeer recent gepatcht beveiligingslek in de software misbruiken. De update voor de kwetsbaarheid, die aanvallers volledige controle over het systeem geeft, werd op 16 februari door Adobe uitgebracht. Het bestand dat het Microsoft Malware Protection Center (MMPC) ontdekte, sluit na geopend te zijn Adobe Reader en plaatst vervolgens het bestand a.exe op de C schijf.

Dit bestand maakt verbinding met een website om aanvullende malware te downloaden. "Wederom wordt JavaScript gebruikt voor het misbruiken van het lek, dus het uitschakelen voor onbekende documenten is een goed idee", zegt Marian Radu van het MMPC.

Reacties (11)
09-03-2010, 10:10 door [Account Verwijderd]
[Verwijderd]
09-03-2010, 10:43 door Bitwiper
Door Draconian:
Het bestand dat het Microsoft Malware Protection Center (MMPC) ontdekte, sluit na geopend te zijn Adobe Reader en plaatst vervolgens het bestand a.exe op de C schijf.
Te makkelijk om hierop te reageren. Wederom mogelijk op alleen ..n...s
Gelukkig heeft Linux geen C: schijf en bovendien weet Linux niet wat ie met a.exe moet! Of....?!?

http://www.adobe.com/support/security/bulletins/apsb10-07.html
A critical vulnerability has been identified in Adobe Reader 9.3 for Windows, Macintosh and UNIX [...]
http://www.securityfocus.com/bid/38195
Vulnerable:
RedHat Enterprise Linux EUS 5.4.z server
RedHat Enterprise Linux ES Extras 4
RedHat Enterprise Linux ES 4.8.z
RedHat Enterprise Linux Desktop Supplementary 5 client
RedHat Enterprise Linux Desktop 5 client
[...]
Droom lekker verder met je secure Linux...
09-03-2010, 10:55 door Anoniem
Door Bitwiper: Gelukkig heeft Linux geen C: schijf en bovendien weet Linux niet wat ie met a.exe moet! Of....?!?

Droom lekker verder met je secure Linux...

Wat zou er dan gebeuren met a.exe in een willekeurige Linux distro?
(Heb het niet over de specifieke RedHat versie, er zijn er nogal wat meer)
Als je erop dubbelklikt, dan...?
09-03-2010, 10:58 door [Account Verwijderd]
[Verwijderd]
09-03-2010, 11:39 door Bitwiper
Door Anoniem:
Door Bitwiper: Gelukkig heeft Linux geen C: schijf en bovendien weet Linux niet wat ie met a.exe moet! Of....?!?
Droom lekker verder met je secure Linux...
Wat zou er dan gebeuren met a.exe in een willekeurige Linux distro?
Met a.exe: niets.

Wel kan de malware in zo'n PDF bijv. aan je ~/.bashrc toevoegen: alias ls="rm -R *" - om maar een voorbeeld te geven. Malware in zo'n PDF kan alles wat jij kunt op jouw systeem: mailen namens jou (spammen), sudo wat-jij-mag starten, op andere manieren proberen root te worden, bestanden overschrijven die jij mag overschrijven, binaries droppen in subdirs waar jij schrijfrechten op hebt wat zeker een probleem is als die in jouw path (denk aan .) zitten, scripts toevoegen etc.
09-03-2010, 12:42 door jopiter
"Te makkelijk om hierop te reageren. Wederom mogelijk op alleen ..n...s"

Indien je de moeite hard genomen om de advisory te lezen, dan wist je dat het gaat om de versies voor Windows, Macintosh en Unix. Iets roepen zonder kennis van zaken is inderdaad erg gemakkelijk, maar verder volstrekt zonder inhoud.
09-03-2010, 12:46 door jopiter
"Linux installeert geen .exe standaard knuppel en de partities zijn ook heel anders."

Wat probeer je hier nu duidelijk te maken ? De opmerkingen in bovenstaand artikel gaan over de windows versie, maar dat wil niet zeggen dat andere versies niet impacted zijn. Dat het bestand geen .exe extensie heeft moge duidelijk zijn.
09-03-2010, 15:17 door bernd
Door Draconian: (heel verhaal in het engels zonder bronvermelding)
bronnen?
probleem is nog steeds dat die adobe zooi in userspace draait, en de meeste users lokale admin rechten hebben. zonder die rechten geen a.exe op de c:\schijf en geen downloads vanaf het .biz domein. Het echte probleem zit tussen stoel en toetsenbord
09-03-2010, 17:31 door Bitwiper
Door bernd: probleem is nog steeds dat die adobe zooi in userspace draait, en de meeste users lokale admin rechten hebben. zonder die rechten geen a.exe op de c:\schijf en geen downloads vanaf het .biz domein. Het echte probleem zit tussen stoel en toetsenbord
Niet mee eens. uit http://www.security.nl/artikel/32662/1/Expert%3A_Geen_data_op_PC%27s_met_internettoegang.html:
Als proof-of-concept maakte de Belg een PDF bestand dat een bekend lek in Adobe Reader misbruikt en een DLL-bestand in het geheugen laadt. Op deze manier wordt er niets naar de harde schijf geschreven (op de PDF na), wat detectie door virusscanners bemoeilijkt.
Het bezoeken van een foute website is voldoende om je account gecompromitteerd te krijgen, dit kun je geen PEBKAC noemen.

Openen van een PDF file in Adobe Reader vormt op elk systeem een risico. Op Linux misschien nog wel het grootste omdat bijna niemand een virusscanner draait op dat OS (niet dat ik een hoge pet op heb van virusscanners).
09-03-2010, 22:29 door Anoniem
Zelfs UNIX heeft zijn zwakke punten mbt veiligheid
Laat staan Windows en Linux elke distro
Zo let us cut the crap met 'Mijn is beter en groter en ik weet meer want ik ben de BIG time beheerder'
In de 22 jaar dat ik nu beheerder ben van multivendor servers ben ik nog geen één 100% veilig systeem tegen gekomen.
En ben ik tot de conclusie gekomen dat ook ik, net als alle andere beheerders op de hele wereld achter de feiten aan loop.
De MS bashes zijn leuk in het begin van je carriere collega's onder elkaar
Dan probeer je s een keer een linux distro ... some things you like and some don't
BeOS, BSD en linux elke distro, UNIX, Novell ... you name it, I had them all
Maar zoals eerder vermeld is geen enkele OS superieur ... dus laten wij ons ook niet zo gedragen
Want na 22 jaar in rondjes te hebben gelopen krab ik wederom op mijn al kale hoofd en kom tot de conclusie:
1 - Man, what was 'MS' jaja tussen de aanhalingstekens ... DOS stabiel
2 - Man, I totally trust on pen and papier
3 - En als we al zo veilig moeten doen met die secrets dan verbranden we het papiertje toch gewoon

@echo off

Nahhh 4get about it

exit
10-03-2010, 09:59 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.