Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 35, views: 14.546 •

Russische beveiligingsonderzoekers claimen dat de sandboxbeveiliging van Adobe is gekraakt en dat een exploit rondzwerft in het criminele circuit. Met behulp van de exploit kunnen kwaadwillende eigen code uitvoeren op systemen van gebruikers. Een patch is er nog niet.

De Russische groep beveiligingsonderzoekers Group-IB claimt dat een exploit voor het beveiligingsprobleem rondzwerft op de zwarte markt, waar deze voor een prijs tussen de 30.000 en 50.000 dollar zou worden aangeboden. Op dit moment zou de exploit slechts in kleine kringen worden aangeboden, maar de onderzoekers vermoeden dat de interesse zou kunnen toenemen.

Het beveiligingsprobleem, waarvan de onderzoekers een proof-of-concept hebben gepubliceerd, maakt het mogelijk om de sandbox-beveiliging van Adobe Reader te doorbreken. De beveiliging, die processen in een beveiligde omgeving uitvoert, is juist ingevoerd om beveiligingsproblemen te voorkomen. Ook Adobes Flash-player beschikt over sandboxing, net als bijvoorbeeld Google Chrome.

Om het beveiligingsprobleem te exploiteren, is het verspreiden van een besmet pdf-bestand voldoende. Eén manier om het probleem te misbruiken vindt plaats na interactie met de gebruiker. Misbruik is ook mogelijk zonder gebruikersinteractie - de ideale situatie voor malwaremakers - maar kan pas als de gebruiker na infectie zijn browser heeft gesloten en weer opstart.

Het gaat om een zogenoemd zero day-beveiligingsprobleem, wat betekent dat het tot nu toe onbekend was en dat er nog geen patch voorhanden is. Zowel de nieuwste versie van Adobe Reader, XI, is kwetsbaar, als de voorlaatste versie. Tegenover beveiligingsjournalist Brian Krebs zegt een woordvoerder van Adobe niet in staat te zijn om de claims te verifiëren, omdat er te weinig informatie voorhanden is. Het bedrijf zou niet zijn gecontacteerd door Group-IB.

Reacties (35)

bekijk pdf documenten enkel via webbased viewer; maakt je dat ook kwetsbaar voor dit soort acties?

//edit; @ biglia;
https://docs.google.com/viewer <- url van de pdf in dumpen en bekijken

[Reactie gewijzigd door himlims_ op 8 november 2012 14:50]

Nee, webbased viewers voegen een extra laag toe tussen de PDF en jouw computer. Geldt trouwens ook voor pdf.js, de javascript-based PDF viewer die je kunt gebruiken in Firefox.

[Reactie gewijzigd door TvdW op 8 november 2012 12:03]

Met een webbased viewer draait er niet lokaal een Adobe Reader process, dus kan deze ook niet lokaal andere processen spawnen.
Hoe doe je dit? Stel dat er een direct link naar een pdf bestand staat op een website.
Of alternatieve readers zoals foxit?
Daarom probeer ik tegenwoordig flash - java - adobe reader te mijden. De meeste malware infecties komen simpelweg door deze software. Niet alleen omdat het algemene ontwerp brak is maar meer omdat praktisch elke windows gebruiker over een van de drie beschikt
De meeste infecties komen door gebruikers en dan vooral die gebruikers die zeggen: "Ik gebruik anti-virus X er kan mij niets overkomen!" of ''Ik gebruik software Y nooit dus ik loop minder gevaar!"

En dan vervolgens twee jaar aan Windows(en al het andere) updates achterlopen...
Ik draai linux, wat kan mij nou overkomen...

PS) in linux/chromium word ik al een tijdje gewaarschuwed dat een PDF schadelijk kan zijn voor de computer... Zou het zijn dat dit al een tijdje bekend is?
Nee. Dat is omdat er ook linux exploits zijn die linux systemen overmeesteren d.m.v. java/adobe.... :+
Het is niet welk O.S. of welke software je draait. Als je stupid bent als gebruiker dan is je systeem ook onveilig. Ik ben een keer dom geweest onder Linux en werd daar ook door afgestraft. :+

Regadless; Om ontopic te blijven. Adobe Reader is een veel gebruikt programma wat door velen wordt gezien als het PDF programma. Dat de software ook nog eens gratis is en op meerdere besturingssystemen loopt betekend dat het een scala aan potentiele infecties kan opleveren. Ik zie het nut er wel van in. Je maakt een PDF voor een doelgroep die je wilt treffen en lanceerd deze. Je PDF wordt gelezen door de doelgroep, de exploit is gemaakt en je kan gaan cashen als hacker.

Stel je voor dat Chinese goldfarmers een handleiding voor WoW of Diablo uitbrengen en die verspreiden. Zelfs als de inhoud bogus is zullen ze een aardig aantal infecties veroorzaken en zo bijvoorbeeld accounts kunnen hacken. Om maar even een heel simpel voorbeeldje te noemen.
Er zijn genoeg exploits voor Linux die op de zelfde manier kunnen werken als een Windows systeem. Neem bijvoorbeeld je Java 7.06 zero-day van een aantal maanden geleden. Dit was een multiplatform exploit die, afhankelijk van je OS, een andere payload op je computer plaatste.
Zoals je hierobven kan lezen gaat het om een zeroday. Je reactie raakt dan ook kant noch wal
Je ook gewoon je computer niet gebruiken.. Nauwelijks een oplossing te noemen.

Wordt wel steeds lastiger naarmate PDF meer en meer gebruikt wordt. Verzekeringspolissen, facturen etc worden meer en meer standaard in digitaal formaat aangeboden.
Nee, zolang je de pdf bestanden alleen opent via de web interface ben je niet kwetsbaar. Je moet Adobe Reader dan ook niet ge´nstalleerd hebben.
Ik gebruik dan ook gewoon de Chrome browser om pdf's te openen.

scheelt weer n stukje agressief zwaar stukje software op de opgeruimde pc :)
En in de chrome-implementatie van het tonen van pdf-bestanden zit nooit een lek? :)
ik snap echt niet waarom Adobe Reader zo ongelooflijk veel beveiligingsproblemen heeft gehad in de laatste jaren, en nu ook nog eens zo een grote zero-day-lek!
in een vorig artikel op tweakers verbaasde me het ook al dat na Java Adobe reader een erg hoog percentage had wat betreft beveiligingsproblemen.
het is toch een 'simpele' reader waarmee je .pdf bestanden kan openen en bij verre niet zo complex als bijvoorbeeld Java? is het de schuld en nalatigheid van Adobe door een product te leveren die erg kwetsbaar is voor beveiligingsproblemen of het is een probleem dat veel complexer is?
Steve Jobs zei het al over Flash:
a “buggy” battery hog made by “lazy” people. The iPod and iPhone, he said, would never run Flash. “Flash is a spaghetti-ball piece of technology that has lousy performance and really bad security problems,”
Hetzelfde kun je zeggen over Adobe Reader. De opstarttijd is wel flink verbeterd de laatste tijd, maar het blijft een geheugenvreter. Het programma lijkt dan ook niet door goede mensen geschreven te zijn, en het verbaast mij daarom niet dat er grote veiligheidsproblemen zijn.
Een pdf is toch een combinatie van verschillende soorten media ( images, rich text ect ), daarom moet een pdf viewer in staat zijn alle mogelijke soorten content die in een pdf kunnen worden ingesloten op de juiste manier als resource te lezen en weer te geven. Het voordeel van een pdf is namelijk dat op elk platform ( windows/osx/linux ect ) de weergave identiek is.

Als je zoveel verschillende soorten interne bronnen moet kunnen opslaan, inlezen en weergeven wordt het toch best wel complex, juist door alle storage-conversion-display conversies?
PDF is een formaat om Postscript Documenten gecombineerd op te slaan (is heel kort door de bocht en simpel gezegd)

Het werkt door middel van Postscript instructies te coderen (Renderen tot plaatje) en deze samen met de "content" op te slaan in een Container.

om Postscript te kunnen lezen moet je kunnen "processen" (het is een script / programmeer taal bedoelt voor "machine to machine" communicatie.

De manier van opzet van Postscript is om content Device onafhankelijk op te slaan en te verwerken. maar wel altijd er 'hetzelfde' uit laten zien.

PDF doet dit dus ook hetzelfde. En voegt de mogelijk heid toe om Content en lay-out in 1 bestand te doen. En ook Meta data daar aan toe te voegen, Wat Links en zoeken mogenlijk maakt.

Bronnen: Wikipediahttp://nl.wikipedia.org/wiki/PostScript Adobehttp://www.adobe.com/products/postscript/ Wikepediahttp://nl.wikipedia.org/wiki/Portable_Document_Format Adobehttp://www.adobe.com/nl/products/acrobat/adobepdf.html

edit: typo

[Reactie gewijzigd door Sysosmaster op 8 november 2012 14:53]

Toch wel hier en daar de plank mis.

PDF staat voor Portable Document Format en is een manier om documenten (niet alleen PostScript) apparaat-onafhankelijk op te slaan.

PostScript is een printertaal, met de nadruk op taal: je kan er in programmeren. Het is inderdaad zoveel mogelijk apparaat-onafhankelijk, maar niet helemaal.

PDF lijkt in sommige opzichten op PostScript, maar is eenvoudiger en rechtlijniger omdat je er niet in kan programmeren. (tegelijk is het bestandsformaat veel complexer, o.a. om het beter navigeerbaar te maken)

Tot slot is PDF uitgebreid met mogelijkheden om allerlei content te embedden (inclusief JavaScript, video, PostScript fragmenten, e.d.), wat ongetwijfeld tot al die security issues leidt.
Quote:
Toch wel hier en daar de plank mis.

PDF staat voor Portable Document Format en is een manier om documenten (niet alleen PostScript) apparaat-onafhankelijk op te slaan.

PostScript is een printertaal, met de nadruk op taal: je kan er in programmeren. Het is inderdaad zoveel mogelijk apparaat-onafhankelijk, maar niet helemaal.

PDF lijkt in sommige opzichten op PostScript, maar is eenvoudiger en rechtlijniger omdat je er niet in kan programmeren. (tegelijk is het bestandsformaat veel complexer, o.a. om het beter navigeerbaar te maken)



Inderdaad, het is een taal. Maar de apparaat, afhankelijkheid zit in de niet (helemaal) standaard implementaties van de taal. niet de taal zelf. Verder kun je in PDF wel degelijk scripten. Maar dan wel in "embedded" stukjes. Verder Begin ik mijn stuk met de oorspronkelijke reden voor het ontstaan van PDF, niet waar het nu in uit gegroeid is.


Tot slot is PDF uitgebreid met mogelijkheden om allerlei content te embedden (inclusief JavaScript, video, PostScript fragmenten, e.d.), wat ongetwijfeld tot al die security issues leidt.

De mogelijkheid van embedded is zelfs de basis van PDF. en het klopt dat de hoeveelheid van diverse types die kunnen worden embed alleen maar gegroeid is over de jaren, zoals bij veel van de wijd gebruikte standaarden van het web.

PDF komt uit een tijd waar netwerken veelal nog niet aan mekaar hingen, internet sporadisch werd gebruikt en security veel al een afdeling was die de gebouwen bewaakte.
Simpele reader ??? Dat is al sinds versie 4 niet meer het geval.

Acrobat reader bevat onder meer: Een multimedia-player, een scriptable 3d engine, een postscript parser, verschillende parsers voor embedded formaten (flash, air, javascript) en verschillende API's om de reader externe te besturen EN om vanuit de reader je OS te kunnen benaderen.

Het is min of meer een mini OS met meerdere programmeer/scripttalen en een behoorlijk directe interface naar het OS waar bovenop het draait.

En een hoop van die dingen zijn behoorlijk houtje-touwtje aan elkaar geknutseld met als gevolg dat er gigantische gaten in de afscherming tussen de componenten onderling zitten.
(B.v. onderdeel A is programmeerbaar maar heeft geen toegang tot het OS, onderdeel B kan wel bij het OS. Omdat A wel bij B kan, kan A via B als achterdeur toch bij het OS te komen.)
Simpel, Adobe is altijd meer geintresseerd geweest in nieuwe features toe te voegen dan degelijke code te schrijven. Features verkopen, security niet. Vraag maar aan MS (voor de jonkies, MS heeft openlijk toegegeven nooit om veiligheid te hebben gegeven in Windows voor (Vista dacht ik) omdat security niet verkocht.
Kan iemand lezen wat het url van de pdf is in de video? het lijkt opt http://antarez.com/terror_sc.pdf, maar dat lijkt niet te kloppen.

edit: ongewenst? Wij zijn tweakers. Wij onderzoeken dingen. Wij delen kennis. Kom op, zeg.

[Reactie gewijzigd door wintermute. op 8 november 2012 15:24]

Als in een link mogelijk een virus zit deel je het op een manier dat je er niet ongewenst op kunt klikken.
edit: ongewenst? Wij zijn tweakers. Wij onderzoeken dingen. Wij delen kennis. Kom op, zeg.

Er zijn regels op deze site, deze link lijkt me wel legatiem omdat het om beveiliging gaat, en niet hoe je moet hacken.
Wil dit dan zeggen dat een virus via deze lek binnen komt? Ik weet toevallig dat een lek in jave er voor kan zorgen dat het Ukash virus naar binnen kan komen...
Mijn vraag is nou: is dit nu specifiek een exploit in de implementatie van PDF lezen van Adobe of zit de exploit in het PDF-formaat zelf en zijn andere viewers zoals SumatraPDF ook de klos?
Je browser of Adobe reader in Sandboxie draaien dan maar? Ik browse meestal zo, en dan heeft de applicatie in theorie geen toegang tot je eigenlijk systeem.
Dat zou zomaar kunnen, Adobe Reader is wel vaker lek. Adobe heeft zelfs al eens gebruikers aangeraden om MS EMET te installeren als extra beveiligingslaag tegen zero day exploits: https://www.adobe.com/sea...advisories/apsa10-02.html

Op dit item kan niet meer gereageerd worden.



Populair: Websites en communities Smartphones Google Apple Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013