Een belangrijk beveiligingslek van Adobe PDF zal op 12 januari worden gedicht. G Data grijpt dit moment aan om inzicht te geven in het gevaar van het PDF-formaat. Een formaat dat een zeer geliefd doelwit is geworden voor cybercriminelen.
CVE-2009-4324, de belangrijke kwetsbaarheid in Adobe Reader en Adobe Acrobat die op 15 december 2009 werd gemeld door Adobe, wordt nu toch hersteld: de update die gepland staat voor 12 januari zal dit beveiligingslek dichten. Hiermee zal één van de meest prangende situaties op het gebied van computerveiligheid eindelijk worden opgelost. Maar waaruit bestaat het gevaar nu eigenlijk precies en waarom is PDF de laatste tijd zo’n zondebok geworden?
PDF-malware: een opwaartse trend
Verschillende gunstige eigenschappen maken Portable Document Format (PDF) één van de meest gebruikte bestanden van nu. Ten eerste kan het op alle computers worden weergegeven met één van de vele gratis PDF Readers. Ten tweede is het veranderen van een PDF-bestand erg ingewikkeld. Hierdoor kan niet gemakkelijk ongeautoriseerd worden gesleuteld aan een tekst en kan hij niet zomaar worden gekopieerd. Bovendien is het formaat compact, wat het aantrekkelijk maakt om bijvoorbeeld als bijlage bij een e-mail mee te sturen.
In de loop der jaren heeft dit bestandformaat er meerdere mogelijkheden bij gekregen en daarmee is ook de complexiteit van de software toegenomen. Dat maakt het vinden en exploiteren van beveiligingsproblemen gemakkelijker. Er bestaan eenvoudige, geautomatiseerde hulpmiddelen, zoals Eleanor, Liberty Exploit System of Elfiesta, die PDF-bestanden kunnen besmetten. Deze programma’s vereisen nauwelijks technische kennis van cybercriminelen.
Analyse van het aantal ontdekte kwetsbaarheden in PDF-software toont dan ook aan dat er in de afgelopen jaren sprake is geweest van een sterke groei. In 2009 heeft de organisatie MITRE (http://cve.mitre.org) 74 PDF-beveiligingslekken (CVE, Common Vulnerabilities and Exposures) in haar lijst met beveiligingskwestbaarheden opgenomen. Dat is tweemaal zoveel als in 2008.
Fasen van een PDF-aanval
De aanvallen door exploitatie van kwetsbaarheden van PDF’s zijn gevarieerd. Eén van de meest voorkomende tactieken verloopt als volgt:
1. Een ingebed JavaScript in een besmette PDF wordt uitgevoerd om het document te openen. Dit schadelijke bestand is versleuteld en dus onzichtbaar tijdens een scan van de PDF.
2. Het Javascript gebruikt de Heap Spray-methode om het geheugen te overspoelen met NOP-commando’s (No Operation-commando’s) en door het meervoudig laten laden van de shellcode.
3. De JavaScript-kwetsbaarheid in de PDF kan dan worden benut om de shellcode uit te voeren.
4. De uitgevoerde shellcode downloadt vervolgens de malware, zoals bijvoorbeeld botnetcomponenten.
Hoe kun je je beschermen?
Een kwalitatief goede beveiligingssuite op de computer installeren is de eerste belangrijke stap. Een verdere stap is het deactiveren van de Javascript-functie in Adobe-programma’s. In de Adobe Reader kan dit via het menu Bewerken. Selecteer hierin Voorkeuren. Klik links in het venster op JavaScript en haal het vinkje weg bij Acrobat JavaScript inschakelen. Een andere oplossing is het activeren van de DEP-functie (Data Execution Prevention) in Windows. Deze functie houdt de uitvoering van malware-code in het geheugen van de computer tegen. Helaas kan veel legitieme software met deze veilige instelling ook niet worden uitgevoerd.