Menü
Security

Kriminelle versuchen ungepatchte Reader-Lücke auszunutzen

vorlesen Drucken Kommentare lesen 164 Beiträge

Mehreren Berichten von Antivirenherstellern zufolge versuchen Kriminelle, die seit rund zwei Wochen bekannte und bislang ungepatchte Schwachstelle in Adobes Reader auszunutzen, um Windows-PCs zu infizieren. Unter den Schädlingen findet sich auch der als besonders gefährlich eingestufte Bot ZeuS.

Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Sophos hat ein Beispiel in seinem Blog veröffentlicht. Dabei soll ein Anwender dazu verleitet werden, den OK-Button anzuklicken. Die präparierten Dokumente gelangen offenbar im Anhang einer Mail auf den Rechner.

M86Security berichtet von einem PDF-Dokument, das versucht, den ZeuS-Bot zu installieren. Beim Öffnen versucht das Dokument ein weiteres PDF-Dokument zu speichern, das den eigentlichen Schädling enthält. Die Verschachtelung dient vermutlich dazu, Virenscanner auszutricksen. Interessanterweise öffnet sich beim Reader beim Speichern ein Anwenderdialog, während Foxit die Datei automatisch ohne Nachfrage speichert. Immerhin erscheint dann beim Startversuch des im PDF versteckten Bots auch in der aktuellen Version des Foxit ein Dialog – ältere Versionen führen eingebettete Dateien ohne Warnung aus.

Adobe stuft die Lücke aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde. Immerhin warne der Adobe Reader ja, dass man Dateien nur aus vertrauenswürdigen Quellen starten solle. Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert.

Bislang scheinen die Angriffe zwar noch nicht besonders ausgereift. Nach Meinung von Jeremy Conway, der kürzlich eine verfeinerte Version des zuerst von Didier Stevens veröffentlichten Exploits präsentierte, dürfte sich dies bald ändern und überzeugendere Malware auftauchen.

Siehe dazu auch:

(dab)