Omdat ik benieuwd was wat er gebeurt wanneer je een andere pdf reader gebruikt, heb ik gezocht naar een testbestand en dat ook gevonden:
https://blog.didierstevens.com/2015/08/28/test-file-pdf-with-embedded-doc-dropping-eicar/
document zelf: pdf-doc-vba-eicar-dropper.zip
Dat is een pdf met daarin een Word document met in het document een macro met het bekende eicar testvirus.
Resulatetn:
- Gedownload: geen probleem, kan het bestand opslaan (is een zip bestand)
- Uitpakken: zoals op de gelinkte site aangegeven moet ik een password ingeven.
Zodra ik dat doe gaat m'n antivirus in werking (F-secure) en verwijdert het bestand.
Dat is dus een eerste beveiligingslaag, maar niet alrijdveilig voor nieuwe malware.
- Antivirus uitgeschakeld en bestand alsnog uitgepakt.
- Open de pdf met Sumatra-pdf. Geen enkel probleem, dat programma ziet niet eens dat er een word-document in zit.
Want Sumatra-pdf ondersteunt geen javascript in pdf's (voorzover mij bekend).
Sumatra pdf is de browser die in mijn browser standaard aan pdf's gekoppeld is.
- Open de pdf met X-Change-viewer (mijn standaard pdf-reader). Daarin heb ik Javascript niet aan staan, maar het kán daarin wel.
Ook hierin (dus zonder Javascript) geen enkel probleem. Zelfde resultaat als bij Sumatra-pdf.
Javascript uit in je browser is dus een tweede beveiligingslaag. Ik heb eigenlijk nog nooit een pdf gehad waarvoor ik Javascript wél aan moet hebben En geloof me, ik verwerk en lees heel wat pdf's!
- Vervolgens heb ik bewust de Javascript in de reader aangezet. Dat maakt een wereld van verschil: nu wordt er inderdaad een waarschuwing gegeven dat er een Word document geopend zal worden.
- Voor proef op ja geklikt.
Dan opent het Word document met de bekende waarschuwing dat er macro's in zitten en dat die een risico inhouden.
Het klikken op OK betekent echter niet, dat de door mij standaard ingestelde hoogste macro-beveiliginggraad van Word nu ineens doorbroken wordt. Daarvoor zou ik meer moeten doen, namelijk dat niveau verlagen
Het op het hoogste niveau hebben staan van macro-beveiliging is dus een derde laag.
Al met al zou ik heel wat handelingen moeten ondernemen en heel wat keren (tegen m'n gevoel in) toestemmingen moeten geven voor de macro werkelijk zijn werk zou kunnen doen.
Je zou eigenlijk mogen stellen dat als bijv. een personeelsafdeling een zgn. cv opent en daardoor met deze malware 'besmet' wordt, de instellingen van de programmatuur wel heel erg zwak staan. En dat op meerdere niveau's.
Mensen die zich zorgen maken over dergelijke Malware kunnen dus letten op:
- Uitschakelen van Javascript in alle op de computer aanwezige pdf-readers
- In Word het macro-beveiligingsniveau zo hoog mogelijk zetten.
Met dat laatste heb ik makkelijk praten, omdat ik nooit (meer) macro's gebruik. Dat is in sommige bedrijven wel anders natuurlijk.
En vanzelfsprekend is en blijft stap 1: geen bijlagen openen waarvan je de afkomst betwijfelt.
Maar ook dat kan voor sommige afdelingen lastig zijn, vooral personeelsafdelingen krijgen mails uit alle hoeken. Met meestal cv als pdf-bijlage...