835493

PDF-Exploits per Bildfilter versteckt

02.05.2011 | 17:27 Uhr |

Schädlicher Code in PDF-Dateien, der bekannte Lücken in Adobe Reader ausnutzen soll, wird von Antivirusprogrammen oft erkannt. Um das zu umgehen, nutzen Malware-Programmierer die vorhandenen Bildfilter, die sich auch für andere Inhalte eignen, um ihren Code zu verstecken.

Sicherheitslücken in älteren Versionen des weit verbreiteten Adobe Reader werden noch immer genutzt, um Malware über PDF-Dateien einzuschleusen. Da die bekannten Exploits von verschiedenen Virenscannern entdeckt werden, tarnen sie die Malware-Programmierer. Zu diesem Zweck haben sie den in der PDF-Spezifikation vorgesehenen JBIG2-Dekoder für sich entdeckt.

Dieser Filter ist an sich nur für monochrome Bilddaten gedacht, die aus einem Bit pro Pixel (schwarz oder weiß) bestehen. Doch dem JBIG2-Algorithmus ist egal, welche Art von Daten er verarbeiten soll. Wie Jiri Sejtko im Blog des Antivirusherstellers Avast berichtet, nutzen Malware-Programmierer etwa ein speziell erstelltes, vermeintliches TIFF-Bild, dessen Höhe mit einem Pixel und dessen Breite (in diesem Fall) mit 25056 Pixel angegeben ist. Es handelt sich um eine Binärdatei, die beliebigen Code enthalten kann.

Im PDF-Dokument wird das vermeintliche Bild durch zwei Filter (FlateDecode, JBIG2) dekodiert. Erst dann ist der bekannte Exploit-Code für eine ab Adobe Reader 8.2.1 und 9.3.1 geschlossene Sicherheitslücke einsatzbereit. Diese doppelte Filterung wird von den meisten Antivirusprogrammen nicht erkannt, weil ein solcher Trick nicht erwartet wird. Avast hat inzwischen eine entsprechende Erkennungsroutine eingebaut, von der auch G Data profitiert. Andere Hersteller werden zweifellos nachziehen.

Nach Angaben von Avast wird dieser Filtertrick bislang vor allem bei gezielten Angriffen (PDF als Mail-Anhang) eingesetzt, weniger bei breit angelegten Angriffen im Web. Das ist recht typisch für neue Tricks und für Exploits noch nicht bekannter Sicherheitslücken. Damit wird zunächst das Radar der Antivirushersteller unterflogen und der Angriff kann sein Ziel erreichen.

Eine solches Recycling betagterer Exploits kann jedoch nur zum Ziel führen, wenn Anwender noch mit veralteten Versionen des Adobe Reader arbeiten. Die Installation der neuesten Version beseitigt eine Reihe bekannter Schwachstellen, die bei Malware-Programmierern nach wie vor recht beliebt sind.

0 Kommentare zu diesem Artikel
835493