Het Russische beveiligingsbedrijf Group-IB waarschuwt voor een zero-day beveiligingslek in Adobe Reader X en XI. De kwetsbaarheid laat aanvallers via geprepareerde PDF-documenten willekeurige shellcode op het systeem uitvoeren. Het lek zou inmiddels ook aan een aangepaste versie van de Blackhole exploit-kit zijn toegevoegd. Blackhole is een populair programma onder cybercriminelen om internetgebruikers via kwetsbare software met malware te infecteren.

Het bezoeken van een kwaadaardige of gehackte website is in dit geval voldoende. Via Blackhole worden onder andere de Zeus, SpyEye, Citadel en Carberp banking Trojans verspreid. Via deze malware kunnen aanvallers toegang tot online bankrekeningen van slachtoffers krijgen.

Sandbox
Vorig jaar introduceerde Adobe een sandbox-beveiliging in de PDF-lezer. Daardoor zou geen enkele van de bekende exploits meer werken. Nu blijkt dat hackers er toch in zijn geslaagd om uit de sandbox-beveiliging te breken.

Het lek kent wel enige beperkingen, aldus een analyse van Group-IB. Zo werkt die alleen als het slachtoffer de browser sluit en herstart. Bij een andere variant van de aanval is interactie met het slachtoffer vereist.

Zwarte markt
"De kwetsbaarheid heeft een behoorlijke vector om te verspreiden en de interne sandbox van Adobe X te omzeilen, wat aantrekkelijk voor cybercriminelen is, omdat er in het verleden geen gedocumenteerde methode was om de sandbox te omzeilen en shellcode te kunnen uitvoeren."

De Russische beveiliger stelt dat de kwetsbaarheid op de zwarte markt zo'n 30.000 tot 50.000 dollar waard is. "Nu wordt het lek alleen binnen kleine kringen verspreid, maar het heeft de potentie voor veel groter misbruik."

Verdere details over de kwetsbaarheid ontbreken nog. Ook is onbekend wat Adobe Reader X-gebruikers kunnen doen, behalve op een andere PDF-lezer overstappen. Adobe heeft nog geen officiele reactie op de eigen website gegeven.

Group-IB maakte onderstaande demonstratievideo: