16.04.2010 11:40
Kriminelle versuchen ungepatchte Reader-Lücke auszunutzen
Mehreren Berichten von Antivirenherstellern zufolge versuchen Kriminelle, die seit rund zwei Wochen bekannte und bislang ungepatchte Schwachstelle in Adobes Reader auszunutzen, um Windows-PCs zu infizieren. Unter den Schädlingen findet sich auch der als besonders gefährlich eingestufte Bot ZeuS.
Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Sophos hat ein Beispiel in seinem Blog veröffentlicht. Dabei soll ein Anwender dazu verleitet werden, den OK-Button anzuklicken. Die präparierten Dokumente gelangen offenbar im Anhang einer Mail auf den Rechner.
M86Security berichtet von einem PDF-Dokument, das versucht, den ZeuS-Bot zu installieren. Beim Öffnen versucht das Dokument ein weiteres PDF-Dokument zu speichern, das den eigentlichen Schädling enthält. Die Verschachtelung dient vermutlich dazu, Virenscanner auszutricksen. Interessanterweise öffnet sich beim Reader beim Speichern ein Anwenderdialog, während Foxit die Datei automatisch ohne Nachfrage speichert. Immerhin erscheint dann beim Startversuch des im PDF versteckten Bots auch in der aktuellen Version des Foxit ein Dialog – ältere Versionen führen eingebettete Dateien ohne Warnung aus.
Adobe stuft die Lücke aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde. Immerhin warne der Adobe Reader ja, dass man Dateien nur aus vertrauenswürdigen Quellen starten solle. Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert.
Bislang scheinen die Angriffe zwar noch nicht besonders ausgereift. Nach Meinung von Jeremy Conway, der kürzlich eine verfeinerte Version des zuerst von Didier Stevens veröffentlichten Exploits präsentierte, dürfte sich dies bald ändern und überzeugendere Malware auftauchen.
Siehe dazu auch:
- Offizieller Workaround von Adobe für PDF-Lücke
- Neue Foxit-Version schließt Executable-Sicherheitslücke
- PDF-Exploit funktioniert ohne konkrete Sicherheitslücke
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
