Adobe geeft oplossing voor PDF-aanval
Adobe heeft een oplossing online gezet voor de aanval van de Belgische onderzoeker Didier Stevens. Die liet zien hoe een uitvoerbaar bestand in een PDF-bestand is te verstoppen en bij het openen van de PDF automatisch wordt uitgevoerd. Volgens Adobe gaat het hier om een "social engineering aanval" die de /launch functionaliteit gebruikt. Adobe Reader geeft volgens de ontwikkelaar een duidelijke waarschuwing bij ingebedde bestanden, dat gebruikers alleen bestanden van betrouwbare bronnen moeten openen.
"Adobe neemt de beveiliging van onze producten en technologieën zeer serieus", aldus de ontwikkelaar. Inmiddels onderzoekt het een manier om het door Stevens aan de kaak gestelde probleem op te lossen, waarbij het een patch niet uitsluit. Gebruikers die zich in de tussentijd willen beschermen, kunnen een optie van de Trust Manager inschakelen, die het openen van niet-PDF bijlagen door externe applicaties voorkomt.
PDF-worm
Tevens heeft de Koreaanse onderzoeker YunSoul een manier laten zien om meerdere schone PDF-bestanden tegelijkertijd via één kwaadaardig bestand te infecteren. Op deze manier is er sprake van een soort PDF-worm. De basis hiervoor werd vorige week al getoond, alleen toen werd er één schoon PDF-bestand besmet.
Reacties (10)
07-04-2010, 20:36 door
Spiff has left the building
" Gebruikers die zich in de tussentijd willen beschermen, kunnen een optie van de Trust Manager inschakelen, die het openen van niet-PDF bijlagen door externe applicaties voorkomt."
Nu Foxit en PDF-XChange (Tracker Software) nog.
Zie de reacties bij http://www.security.nl/artikel/32967/1/Foxit_Reader_kwetsbaar_voor_Adobe_exploit.html
Nu Foxit en PDF-XChange (Tracker Software) nog.
Zie de reacties bij http://www.security.nl/artikel/32967/1/Foxit_Reader_kwetsbaar_voor_Adobe_exploit.html
08-04-2010, 01:25 door
Bitwiper
Zoals ik dinsdag schreef (1e reactie in http://www.security.nl/artikel/32967/1/Foxit_Reader_kwetsbaar_voor_Adobe_exploit.html) is ook wat Adobe in bovenstaand artikel voorstelt een per user oplossing.
In diezelfde thread stelde Didier Stevens voor om naar de Adobe Customization Wizard te kijken, en inderdaad belooft die tool precies te doen wat elke admin wil: een soort policies waarmee instellingen vooraf goed gezet worden en gebruikers daar niet meer aan kunnen rommelen. Helemaal mooi: in http://www.adobe.com/support/downloads/detail.jsp?ftpID=3993 stelt Adobe onder meer: "Customize file attachment handling within PDF files, including specifying which file types you want to block".
Je kunt inderdaad de installer zo aanpassen dat een daarmee geinstalleerde Acrobat Reader onder de Trust Manager preferences (NL: Betrouwbaarheidsbeheer) geen vinkje laat zien voor "Allow opening of non-PDF file attachments with external applications" (NL: "Het openen van niet-PDF bijlagen in externe toepassingen toestaan"), en bovendien is dit grijs zodat de gebruiker het vinkje niet kan zetten. [1]
Alleen - het doet niks! De Launch actie wordt nog steeds slechts geblokkeerd door een dialoogbox waarin een deel van de tekst (volgens Didier Stevens) gespoofed kan worden en de gebruiker een executable kan starten door op OK te drukken (dus hetzelfde effect als bij een standaard Acrobat Reader met vinkje).
Het doet niks - dat wil zeggen, totdat de betreffende gebruiker (elke gebruiker zou dit dus moeten doen) die Trust Manager settings bekijkt en op de OK knop drukt: pas dan wordt de registerwaarde bAllowOpenFile aangemaakt en op 0 gezet (onder de key HKCU\Software\Adobe\Acrobat Reader\9.0\Originals), en vanaf dat moment kan de gebruiker niet meer op OK clicken bij een Launch actie van een PDF-embedded of system executable. De kans dat lusers ongevraagd naar die Trust Managers settings gaan kijken en op OK drukken is natuurlijk erg klein.
Ik heb dit probleem woensdag eind van de avond in een mail gemeld aan psirt van Adobe.
Admins die willen verhinderen dat gebruikers executable bijlagen of systeem files kunnen starten, kunnen momenteel beter het advies van Adobe (http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html) volgen bijv. door de genoemde registry values middels een logonscript o.i.d. te zetten.
[1] Zojuist zag ik dat dit kennelijk bewerkstelligd wordt door een registervariabele genaamd "iFileAttachmentPerms" (REG_DWORD) met waarde 1 onder HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockDown.
In diezelfde thread stelde Didier Stevens voor om naar de Adobe Customization Wizard te kijken, en inderdaad belooft die tool precies te doen wat elke admin wil: een soort policies waarmee instellingen vooraf goed gezet worden en gebruikers daar niet meer aan kunnen rommelen. Helemaal mooi: in http://www.adobe.com/support/downloads/detail.jsp?ftpID=3993 stelt Adobe onder meer: "Customize file attachment handling within PDF files, including specifying which file types you want to block".
Je kunt inderdaad de installer zo aanpassen dat een daarmee geinstalleerde Acrobat Reader onder de Trust Manager preferences (NL: Betrouwbaarheidsbeheer) geen vinkje laat zien voor "Allow opening of non-PDF file attachments with external applications" (NL: "Het openen van niet-PDF bijlagen in externe toepassingen toestaan"), en bovendien is dit grijs zodat de gebruiker het vinkje niet kan zetten. [1]
Alleen - het doet niks! De Launch actie wordt nog steeds slechts geblokkeerd door een dialoogbox waarin een deel van de tekst (volgens Didier Stevens) gespoofed kan worden en de gebruiker een executable kan starten door op OK te drukken (dus hetzelfde effect als bij een standaard Acrobat Reader met vinkje).
Het doet niks - dat wil zeggen, totdat de betreffende gebruiker (elke gebruiker zou dit dus moeten doen) die Trust Manager settings bekijkt en op de OK knop drukt: pas dan wordt de registerwaarde bAllowOpenFile aangemaakt en op 0 gezet (onder de key HKCU\Software\Adobe\Acrobat Reader\9.0\Originals), en vanaf dat moment kan de gebruiker niet meer op OK clicken bij een Launch actie van een PDF-embedded of system executable. De kans dat lusers ongevraagd naar die Trust Managers settings gaan kijken en op OK drukken is natuurlijk erg klein.
Ik heb dit probleem woensdag eind van de avond in een mail gemeld aan psirt van Adobe.
Admins die willen verhinderen dat gebruikers executable bijlagen of systeem files kunnen starten, kunnen momenteel beter het advies van Adobe (http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html) volgen bijv. door de genoemde registry values middels een logonscript o.i.d. te zetten.
[1] Zojuist zag ik dat dit kennelijk bewerkstelligd wordt door een registervariabele genaamd "iFileAttachmentPerms" (REG_DWORD) met waarde 1 onder HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockDown.
08-04-2010, 12:04 door
Spiff has left the building
Goed puzzelwerk, Bitwiper.
M'n complimenten.
En verder,
Al houd ik niet van Adobe Reader (al was het alleen al vanwege de in mijn ervaring erg slordige update-routines van dat programma en het mee-installeren van Adobe AIR), ik moet zeggen dat Adobe Reader met de mogelijkheid om "Het openen van niet-PDF bijlagen in externe toepassingen" te verbieden een betere mogelijkheid biedt om de gebruiker de mogelijkheid te geven zich te beschermen dan Foxit Reader en PDF-XChange Viewer tot op heden bieden.
In Foxit Reader ontbrak tot voor kort élke bescherming tegen het ongevraagd uitvoeren van in een PDF ingebedde bestanden. Na de recente update is in Foxit Reader nu wel een systeem ingebouwd dat waarschuwt en vraagt of een dergelijk bestand uitgevoerd moet worden, vergelijkbaar met Adobe Reader en PDF-XChange Viewer.
Echter, de mogelijkheid zoals in Adobe Reader, om "het openen van niet-PDF bijlagen in externe toepassingen" niet toe te staan, die ontbreekt in Foxit Reader en PDF-XChange Viewer tot op heden nog.
Wel gaf Foxit dinsdag aan op de hoogte te zijn, en te verwachten voor het eind van de week het probleem op te lossen.
En Tracker Software gaf gisteren aan te overwegen zoiets als Adobe's Betrouwbaarheidsbeheer/ Trust Manager te gaan inbouwen in PDF-XChange Viewer en gaf dat een goeie kans.
(Zie de reacties bij http://www.security.nl/artikel/32967/1/Foxit_Reader_kwetsbaar_voor_Adobe_exploit.html)
Ik ben benieuwd naar de oplossingen van Foxit en (hopelijk ook) van Tracker Software.
Ook ben ik benieuwd naar de patch die Adobe nog overweegt.
Als dat een slimme patch is, dan zullen Foxit en Tracker Software wellicht opnieuw moeten volgen.
M'n complimenten.
En verder,
Al houd ik niet van Adobe Reader (al was het alleen al vanwege de in mijn ervaring erg slordige update-routines van dat programma en het mee-installeren van Adobe AIR), ik moet zeggen dat Adobe Reader met de mogelijkheid om "Het openen van niet-PDF bijlagen in externe toepassingen" te verbieden een betere mogelijkheid biedt om de gebruiker de mogelijkheid te geven zich te beschermen dan Foxit Reader en PDF-XChange Viewer tot op heden bieden.
In Foxit Reader ontbrak tot voor kort élke bescherming tegen het ongevraagd uitvoeren van in een PDF ingebedde bestanden. Na de recente update is in Foxit Reader nu wel een systeem ingebouwd dat waarschuwt en vraagt of een dergelijk bestand uitgevoerd moet worden, vergelijkbaar met Adobe Reader en PDF-XChange Viewer.
Echter, de mogelijkheid zoals in Adobe Reader, om "het openen van niet-PDF bijlagen in externe toepassingen" niet toe te staan, die ontbreekt in Foxit Reader en PDF-XChange Viewer tot op heden nog.
Wel gaf Foxit dinsdag aan op de hoogte te zijn, en te verwachten voor het eind van de week het probleem op te lossen.
En Tracker Software gaf gisteren aan te overwegen zoiets als Adobe's Betrouwbaarheidsbeheer/ Trust Manager te gaan inbouwen in PDF-XChange Viewer en gaf dat een goeie kans.
(Zie de reacties bij http://www.security.nl/artikel/32967/1/Foxit_Reader_kwetsbaar_voor_Adobe_exploit.html)
Ik ben benieuwd naar de oplossingen van Foxit en (hopelijk ook) van Tracker Software.
Ook ben ik benieuwd naar de patch die Adobe nog overweegt.
Als dat een slimme patch is, dan zullen Foxit en Tracker Software wellicht opnieuw moeten volgen.
08-04-2010, 17:35 door
SirDice
Adobe Reader geeft volgens de ontwikkelaar een duidelijke waarschuwing bij ingebedde bestanden, dat gebruikers alleen bestanden van betrouwbare bronnen moeten openen.
Wat nu als je een PDF ontvangt van een betrouwbare bron en deze blijkt geïnfecteerd te zijn?"Adobe neemt de beveiliging van onze producten en technologieën zeer serieus", aldus de ontwikkelaar. Inmiddels onderzoekt het een manier om het door Stevens aan de kaak gestelde probleem op te lossen, waarbij het een patch niet uitsluit.
Ik stel voor om die /launch rommel er in z'n geheel uit de definities te slopen. En als ze dan toch bezig zijn, kan die javascript ondersteuning er ook gelijk uitgesloopt worden?Ow wacht.. Ik stel voor om gewoon terug te gaan naar PDF 1.1 en de rest te vergeten.
08-04-2010, 23:40 door
Bitwiper
Door Spiff: Goed puzzelwerk, Bitwiper.
M'n complimenten.
Ook jij bedankt voor jouw inzet o.a. voor het aandringen op updates bij PDF softwaremakers!M'n complimenten.
Overigens heb ik begin van de avond antwoord ontvangen van Adobe's psirt:
Hello Bitwiper,
Thank you for contacting us. As you have noted, changing the preference for launching attachments via the Customization Wizard does not block the launch of external executables. We have logged a bug to resolve this inconsistency.
Thank you for your help. Please let us know if you have any questions.
M.b.t. Foxit: ik zag het bovenste comment in http://blog.didierstevens.com/2010/03/31/escape-from-foxit-reader/ en heb de tekst "Launch" in "Foxit Reader.exe" gewijzigd m.b.v. een hex-editor (HxD). Daarmee werkt de door Didier gepubliceerde exploit geheel niet meer.Thank you for contacting us. As you have noted, changing the preference for launching attachments via the Customization Wizard does not block the launch of external executables. We have logged a bug to resolve this inconsistency.
Thank you for your help. Please let us know if you have any questions.
Terzijde, ik vind het nog steeds bizar dat Windows de digitale handtekening -indien aanwezig- onder een uitvoerbaar bestand niet checkt na het in het geheugen laden en voor het uitvoeren daarvan (de onder "Foxit Reader.exe" aanwezige handtekening klopt natuurlijk niet meer na zo'n wijziging).
Door SirDice: Ow wacht.. Ik stel voor om gewoon terug te gaan naar PDF 1.1 en de rest te vergeten.
Zelf heb ik het niet gecheckt, maar "earthsound" (comment 184 onder http://blog.didierstevens.com/2010/03/29/escape-from-pdf/) meldt: Actions (including Launch) have been in the PDF spec since 1.1 (1996).
09-04-2010, 01:04 door
Didier Stevens
Nice work Bitwiper!
Klopt, die AuthentiCode handtekening is er voor de gebruiker, Windows zelf doet er niets mee. Behalve bij Patch Guard op 64 bit Vista/7/2008 R2.
Door Bitwiper: Terzijde, ik vind het nog steeds bizar dat Windows de digitale handtekening -indien aanwezig- onder een uitvoerbaar bestand niet checkt na het in het geheugen laden en voor het uitvoeren daarvan (de onder "Foxit Reader.exe" aanwezige handtekening klopt natuurlijk niet meer na zo'n wijziging).
Klopt, die AuthentiCode handtekening is er voor de gebruiker, Windows zelf doet er niets mee. Behalve bij Patch Guard op 64 bit Vista/7/2008 R2.
14-04-2010, 17:44 door
Spiff has left the building
Er is inmiddels een update voor PDF-XChange Viewer,
die het verbieden van "het openen van niet-PDF bijlagen in externe toepassingen" mogelijk maakt,
vergelijkbaar met Trust Manager (Betrouwbaarheidsbeheer) van Adobe.
Zie mijn forum-bericht:
http://www.security.nl/artikel/33054/1/PDF-XChange_Viewer_update_%21.html
die het verbieden van "het openen van niet-PDF bijlagen in externe toepassingen" mogelijk maakt,
vergelijkbaar met Trust Manager (Betrouwbaarheidsbeheer) van Adobe.
Zie mijn forum-bericht:
http://www.security.nl/artikel/33054/1/PDF-XChange_Viewer_update_%21.html
15-04-2010, 12:16 door
Spiff has left the building
En wat Foxit betreft:
Ik kreeg gisteravond laat een reactie van Foxit Corporation.
Ik werd verwezen naar update 3.2.1.0401, die zou het probleem dat ik had aangekaart al verholpen hebben.
Ze hebben het daar bij Foxit blijkbaar niet begrepen.
Ik heb Foxit er opnieuw op gewezen dat een beveiligingsoptie zoals in Adobe's "Trust Manager" of PDF-XChange Viewer's "File open and Program Launch Actions" nog ontbreekt in Foxit Reader.
Ik heb ook verwezen naar een bijdrage op het Foxit Reader forum waar BerFox hetzelfde heeft aangekaart:
Topic "How does Foxit handle the most recent Didier Stevens PoC"
http://forums.foxitsoftware.com//showthread.php?t=18026
en dan daarin post #8,
"Foxit dev team working on requested feature or not?"
http://forums.foxitsoftware.com//showpost.php?p=41713&postcount=8
Ik ben benieuwd of Foxit dit alsnog gaat oppakken.
Vooralsnog is PDF-XChange Viewer beslist mijn favoriet.
Heb je echter genoeg aan een wat Spartaanser PDF reader, dan blijft Sumatra PDF natuurlijk ook een prima keus.
Of nog een andere PDF reader: http://pdfreaders.org/
Ik kreeg gisteravond laat een reactie van Foxit Corporation.
Ik werd verwezen naar update 3.2.1.0401, die zou het probleem dat ik had aangekaart al verholpen hebben.
Ze hebben het daar bij Foxit blijkbaar niet begrepen.
Ik heb Foxit er opnieuw op gewezen dat een beveiligingsoptie zoals in Adobe's "Trust Manager" of PDF-XChange Viewer's "File open and Program Launch Actions" nog ontbreekt in Foxit Reader.
Ik heb ook verwezen naar een bijdrage op het Foxit Reader forum waar BerFox hetzelfde heeft aangekaart:
Topic "How does Foxit handle the most recent Didier Stevens PoC"
http://forums.foxitsoftware.com//showthread.php?t=18026
en dan daarin post #8,
"Foxit dev team working on requested feature or not?"
http://forums.foxitsoftware.com//showpost.php?p=41713&postcount=8
Ik ben benieuwd of Foxit dit alsnog gaat oppakken.
Vooralsnog is PDF-XChange Viewer beslist mijn favoriet.
Heb je echter genoeg aan een wat Spartaanser PDF reader, dan blijft Sumatra PDF natuurlijk ook een prima keus.
Of nog een andere PDF reader: http://pdfreaders.org/
16-04-2010, 00:38 door
Spiff has left the building
Vervolgend met de berichtgeving over Foxit Reader,
betreffend mijn suggestie een beveiligingsoptie zoals in Adobe's "Trust Manager" of PDF-XChange Viewer's "File open and Program Launch Actions" te integreren in Foxit Reader:
Ik ontving zonet de volgende reactie van Foxit Software:
" Hello Sir I can forward your suggestion to our Product manager so they can discuss this feature's addition in a new version of Reader."
Dat schiet niet bepaald op zo.
Er lijkt dus niet, zoals vorige week nog beweerd werd, heel spoedig weer een update voor Foxit Reader aan te komen, met die specifieke beveiligings-mogelijkheid toegevoegd.
Ik zal het vervolg van de thread op Foxit Reader forum in de gaten houden,
om te zien of dezelfde suggestie van BerFox serieus opgepakt wordt:
Topic "How does Foxit handle the most recent Didier Stevens PoC"
http://forums.foxitsoftware.com//showthread.php?t=18026
en dan daarin post #8,
"Foxit dev team working on requested feature or not?"
http://forums.foxitsoftware.com//showpost.php?p=41713&postcount=8
Tracker Software heeft dit voor PDF-XChange Viewer duidelijk vlotter opgepakt dan Foxit Corporation.
Pluspunt voor Tracker Software.
betreffend mijn suggestie een beveiligingsoptie zoals in Adobe's "Trust Manager" of PDF-XChange Viewer's "File open and Program Launch Actions" te integreren in Foxit Reader:
Ik ontving zonet de volgende reactie van Foxit Software:
" Hello Sir I can forward your suggestion to our Product manager so they can discuss this feature's addition in a new version of Reader."
Dat schiet niet bepaald op zo.
Er lijkt dus niet, zoals vorige week nog beweerd werd, heel spoedig weer een update voor Foxit Reader aan te komen, met die specifieke beveiligings-mogelijkheid toegevoegd.
Ik zal het vervolg van de thread op Foxit Reader forum in de gaten houden,
om te zien of dezelfde suggestie van BerFox serieus opgepakt wordt:
Topic "How does Foxit handle the most recent Didier Stevens PoC"
http://forums.foxitsoftware.com//showthread.php?t=18026
en dan daarin post #8,
"Foxit dev team working on requested feature or not?"
http://forums.foxitsoftware.com//showpost.php?p=41713&postcount=8
Tracker Software heeft dit voor PDF-XChange Viewer duidelijk vlotter opgepakt dan Foxit Corporation.
Pluspunt voor Tracker Software.
17-04-2010, 12:57 door
Spiff has left the building
Duurt mijns inziens allemaal véél te lang bij Foxit.
Ik heb zonet nog maar eens een extra zetje gegeven.
Zie Foxit Reader forum:
[Features] Needed: "Disallow opening of non-PDF file attachments with external applications"
http://forums.foxitsoftware.com/showthread.php?t=18162
Ik heb zonet nog maar eens een extra zetje gegeven.
Zie Foxit Reader forum:
[Features] Needed: "Disallow opening of non-PDF file attachments with external applications"
http://forums.foxitsoftware.com/showthread.php?t=18162
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
