119372

PDF-Angriffe werden raffinierter

06.11.2008 | 16:33 Uhr |

Online-Kriminelle nutzen weiterhin Sicherheitslücken in älteren Versionen des Adobe Reader aus, um Malware einzuschleusen. Sie haben ihre Techniken verfeinert, um der Entdeckung durch Antivirusprogramme zu entgehen.

Bereits seit geraumer Zeit versuchen Online-Kriminelle Malware mit Hilfe präparierter PDF-Dateien zu verbreiten. Ermöglicht wird dies durch anfällige Versionen des Adobe Reader, die ausnutzbare Sicherheitslücken aufweisen. Die Malware-Baukästen , mit denen die präparierten PDF-Dateien erzeugt werden, sind inzwischen verbessert worden und können aus dem gleichen Ausgangsmaterial viele verschiedene Dateien als Malware-Container generieren. Damit soll den Antivirusherstellern die Erkennung gefährlicher PDF-Dateien erschwert werden.

Der Antivirushersteller Avira aus Tettnang warnt vor PDF-Dateien aus dem Baukasten "El Fiesta", einem einschlägig bekannten Exploit-Kit. Die Täter brechen in legitime Websites ein und präparieren sie mit dem Exploit-Kit. Die Rechner von Besuchern der Websites werden von dem Angriffs-Code auf ausnutzbare Schwachstellen untersucht, etwa auf veraltete Versionen des Adobe Reader. Per Drive-by Download werden präparierte PDF-Dateien eingeschleust, die Malware freisetzen, sobald die Dateien in einer anfälligen Version des Adobe Reader geöffnet werden.

Ausgenutzt wird vor allem eine Sicherheitslücke im Adobe Reader bis einschließlich Version 8.1.1, die Adobe bereits im Februar in der Version 8.1.2 beseitigt hat. Die Schwachstelle basiert auf Pufferüberläufen, die durch überlange Parameter mittels Javascript provoziert werden. Das Script kann dann schädlichen Code in den Speicher schreiben und ausführen, vorzugsweise Malware. Avira AntiVir erkennt die präparierten Dateien als "PDF/Drop.Sigma.A".

Auch die Malware-Spezialisten von Kaspersky Lab haben "El Fiesta" im Visier. In ihren Blog berichten sie, dass El Fiesta nicht nur das Einschleusen von Malware ermöglicht. Es erlaubt auch die verseuchten Rechner online zu überwachen. So wissen die Täter stets, wo sie ihre Opfer finden.

Schutz gegen die präparierten PDF-Dateien bietet, neben einem aktuellen Virenscanner, das Einspielen der jeweils neuesten Sicherheits-Updates - auch für Anwendungsprogramme sowie Browser und deren Plugins. Adobe hat gerade in dieser Woche die Version 8.1.3 des Adobe Reader bereit gestellt, in der weitere acht Sicherheitslücken beseitigt worden sind.

0 Kommentare zu diesem Artikel
119372