Onderzoekers claimen zero day-lek in Adobe Reader gevonden te hebben

Russische beveiligingsonderzoekers claimen dat de sandboxbeveiliging van Adobe is gekraakt en dat een exploit rondzwerft in het criminele circuit. Met behulp van de exploit kunnen kwaadwillende eigen code uitvoeren op systemen van gebruikers. Een patch is er nog niet.

De Russische groep beveiligingsonderzoekers Group-IB claimt dat een exploit voor het beveiligingsprobleem rondzwerft op de zwarte markt, waar deze voor een prijs tussen de 30.000 en 50.000 dollar zou worden aangeboden. Op dit moment zou de exploit slechts in kleine kringen worden aangeboden, maar de onderzoekers vermoeden dat de interesse zou kunnen toenemen.

Het beveiligingsprobleem, waarvan de onderzoekers een proof-of-concept hebben gepubliceerd, maakt het mogelijk om de sandbox-beveiliging van Adobe Reader te doorbreken. De beveiliging, die processen in een beveiligde omgeving uitvoert, is juist ingevoerd om beveiligingsproblemen te voorkomen. Ook Adobes Flash-player beschikt over sandboxing, net als bijvoorbeeld Google Chrome.

Om het beveiligingsprobleem te exploiteren, is het verspreiden van een besmet pdf-bestand voldoende. Eén manier om het probleem te misbruiken vindt plaats na interactie met de gebruiker. Misbruik is ook mogelijk zonder gebruikersinteractie - de ideale situatie voor malwaremakers - maar kan pas als de gebruiker na infectie zijn browser heeft gesloten en weer opstart.

Het gaat om een zogenoemd zero day-beveiligingsprobleem, wat betekent dat het tot nu toe onbekend was en dat er nog geen patch voorhanden is. Zowel de nieuwste versie van Adobe Reader, XI, is kwetsbaar, als de voorlaatste versie. Tegenover beveiligingsjournalist Brian Krebs zegt een woordvoerder van Adobe niet in staat te zijn om de claims te verifiëren, omdat er te weinig informatie voorhanden is. Het bedrijf zou niet zijn gecontacteerd door Group-IB.

Door Joost Schellevis

Redacteur

Feedback • 08-11-2012 11:50 35

08-11-2012 • 11:50

35

Lees meer

Aanvallers misbruiken zero-day-kwetsbaarheid in Flash
Aanvallers misbruiken zero-day-kwetsbaarheid in Flash Nieuws van 22 januari 2015
Google gaat veiligheidspatches voor opensource-software belonen
Google gaat veiligheidspatches voor opensource-software belonen Nieuws van 10 oktober 2013
Adobe gaat beveiligingsproblemen in Reader verhelpen
Adobe gaat beveiligingsproblemen in Reader verhelpen Nieuws van 18 februari 2013
'Beveiligingslek Adobe Reader wordt actief misbruikt'
'Beveiligingslek Adobe Reader wordt actief misbruikt' Nieuws van 13 februari 2013
Adobe komt met noodpatch Flash voor misbruikte beveiligingslekken
Adobe komt met noodpatch Flash voor misbruikte beveiligingslekken Nieuws van 8 februari 2013
Hacker maakt gegevens 150.000 Adobe-klanten buit
Hacker maakt gegevens 150.000 Adobe-klanten buit Nieuws van 15 november 2012
Virus vermomt zich als boodschap politie
Virus vermomt zich als boodschap politie Nieuws van 19 december 2011
F-secure: RSA gekraakt via Excel-bestand en Flash-exploit
F-secure: RSA gekraakt via Excel-bestand en Flash-exploit Nieuws van 29 augustus 2011
Adobe dicht zero day-lek in Flash
Adobe dicht zero day-lek in Flash Nieuws van 6 juni 2011
RSA-hackers verkregen toegang via phishing-mails
RSA-hackers verkregen toegang via phishing-mails Nieuws van 3 april 2011
Nieuwe exploit in Flash-player direct misbruikt -- update
Nieuwe exploit in Flash-player direct misbruikt -- update Nieuws van 28 mei 2008
Meer producten en artikelen
Beveiliging en antivirus Netwerk en systeembeheer

Reacties (35)

-Moderatie-faq
35
35
25
2
0
7
Wijzig sortering
Brian1454 8 november 2012 13:31
ik snap echt niet waarom Adobe Reader zo ongelooflijk veel beveiligingsproblemen heeft gehad in de laatste jaren, en nu ook nog eens zo een grote zero-day-lek!
in een vorig artikel op tweakers verbaasde me het ook al dat na Java Adobe reader een erg hoog percentage had wat betreft beveiligingsproblemen.
het is toch een 'simpele' reader waarmee je .pdf bestanden kan openen en bij verre niet zo complex als bijvoorbeeld Java? is het de schuld en nalatigheid van Adobe door een product te leveren die erg kwetsbaar is voor beveiligingsproblemen of het is een probleem dat veel complexer is?
TonnyTonny @Brian14548 november 2012 14:15
Simpele reader ??? Dat is al sinds versie 4 niet meer het geval.

Acrobat reader bevat onder meer: Een multimedia-player, een scriptable 3d engine, een postscript parser, verschillende parsers voor embedded formaten (flash, air, javascript) en verschillende API's om de reader externe te besturen EN om vanuit de reader je OS te kunnen benaderen.

Het is min of meer een mini OS met meerdere programmeer/scripttalen en een behoorlijk directe interface naar het OS waar bovenop het draait.

En een hoop van die dingen zijn behoorlijk houtje-touwtje aan elkaar geknutseld met als gevolg dat er gigantische gaten in de afscherming tussen de componenten onderling zitten.
(B.v. onderdeel A is programmeerbaar maar heeft geen toegang tot het OS, onderdeel B kan wel bij het OS. Omdat A wel bij B kan, kan A via B als achterdeur toch bij het OS te komen.)
Verwijderd @Brian14548 november 2012 14:10
Een pdf is toch een combinatie van verschillende soorten media ( images, rich text ect ), daarom moet een pdf viewer in staat zijn alle mogelijke soorten content die in een pdf kunnen worden ingesloten op de juiste manier als resource te lezen en weer te geven. Het voordeel van een pdf is namelijk dat op elk platform ( windows/osx/linux ect ) de weergave identiek is.

Als je zoveel verschillende soorten interne bronnen moet kunnen opslaan, inlezen en weergeven wordt het toch best wel complex, juist door alle storage-conversion-display conversies?
Sysosmaster @Verwijderd8 november 2012 14:46
PDF is een formaat om Postscript Documenten gecombineerd op te slaan (is heel kort door de bocht en simpel gezegd)

Het werkt door middel van Postscript instructies te coderen (Renderen tot plaatje) en deze samen met de "content" op te slaan in een Container.

om Postscript te kunnen lezen moet je kunnen "processen" (het is een script / programmeer taal bedoelt voor "machine to machine" communicatie.

De manier van opzet van Postscript is om content Device onafhankelijk op te slaan en te verwerken. maar wel altijd er 'hetzelfde' uit laten zien.

PDF doet dit dus ook hetzelfde. En voegt de mogelijk heid toe om Content en lay-out in 1 bestand te doen. En ook Meta data daar aan toe te voegen, Wat Links en zoeken mogenlijk maakt.

Bronnen: Wikipediahttp://nl.wikipedia.org/wiki/PostScript Adobehttp://www.adobe.com/products/postscript/ Wikepediahttp://nl.wikipedia.org/wiki/Portable_Document_Format Adobehttp://www.adobe.com/nl/products/acrobat/adobepdf.html

edit: typo

[Reactie gewijzigd door Sysosmaster op 25 juli 2024 07:50]

Nappie @Sysosmaster8 november 2012 17:31
Toch wel hier en daar de plank mis.

PDF staat voor Portable Document Format en is een manier om documenten (niet alleen PostScript) apparaat-onafhankelijk op te slaan.

PostScript is een printertaal, met de nadruk op taal: je kan er in programmeren. Het is inderdaad zoveel mogelijk apparaat-onafhankelijk, maar niet helemaal.

PDF lijkt in sommige opzichten op PostScript, maar is eenvoudiger en rechtlijniger omdat je er niet in kan programmeren. (tegelijk is het bestandsformaat veel complexer, o.a. om het beter navigeerbaar te maken)

Tot slot is PDF uitgebreid met mogelijkheden om allerlei content te embedden (inclusief JavaScript, video, PostScript fragmenten, e.d.), wat ongetwijfeld tot al die security issues leidt.
Verwijderd @Nappie8 november 2012 23:58
Dank je voor de bevestiging.

Voor geinteresseerden:

http://mariomalwareanalys...-manually-create-pdf.html
http://mariomalwareanalys...-javascript-into-pdf.html
Sysosmaster @Nappie9 november 2012 13:04
Quote:
Toch wel hier en daar de plank mis.

PDF staat voor Portable Document Format en is een manier om documenten (niet alleen PostScript) apparaat-onafhankelijk op te slaan.

PostScript is een printertaal, met de nadruk op taal: je kan er in programmeren. Het is inderdaad zoveel mogelijk apparaat-onafhankelijk, maar niet helemaal.

PDF lijkt in sommige opzichten op PostScript, maar is eenvoudiger en rechtlijniger omdat je er niet in kan programmeren. (tegelijk is het bestandsformaat veel complexer, o.a. om het beter navigeerbaar te maken)



Inderdaad, het is een taal. Maar de apparaat, afhankelijkheid zit in de niet (helemaal) standaard implementaties van de taal. niet de taal zelf. Verder kun je in PDF wel degelijk scripten. Maar dan wel in "embedded" stukjes. Verder Begin ik mijn stuk met de oorspronkelijke reden voor het ontstaan van PDF, niet waar het nu in uit gegroeid is.


Tot slot is PDF uitgebreid met mogelijkheden om allerlei content te embedden (inclusief JavaScript, video, PostScript fragmenten, e.d.), wat ongetwijfeld tot al die security issues leidt.

De mogelijkheid van embedded is zelfs de basis van PDF. en het klopt dat de hoeveelheid van diverse types die kunnen worden embed alleen maar gegroeid is over de jaren, zoals bij veel van de wijd gebruikte standaarden van het web.

PDF komt uit een tijd waar netwerken veelal nog niet aan mekaar hingen, internet sporadisch werd gebruikt en security veel al een afdeling was die de gebouwen bewaakte.
GlowMouse @Brian14548 november 2012 14:04
Steve Jobs zei het al over Flash:
a “buggy” battery hog made by “lazy” people. The iPod and iPhone, he said, would never run Flash. “Flash is a spaghetti-ball piece of technology that has lousy performance and really bad security problems,”
Hetzelfde kun je zeggen over Adobe Reader. De opstarttijd is wel flink verbeterd de laatste tijd, maar het blijft een geheugenvreter. Het programma lijkt dan ook niet door goede mensen geschreven te zijn, en het verbaast mij daarom niet dat er grote veiligheidsproblemen zijn.
sfc1971 @Brian14548 november 2012 14:53
Simpel, Adobe is altijd meer geintresseerd geweest in nieuwe features toe te voegen dan degelijke code te schrijven. Features verkopen, security niet. Vraag maar aan MS (voor de jonkies, MS heeft openlijk toegegeven nooit om veiligheid te hebben gegeven in Windows voor (Vista dacht ik) omdat security niet verkocht.
Verwijderd 8 november 2012 11:57
Daarom probeer ik tegenwoordig flash - java - adobe reader te mijden. De meeste malware infecties komen simpelweg door deze software. Niet alleen omdat het algemene ontwerp brak is maar meer omdat praktisch elke windows gebruiker over een van de drie beschikt
Toettoetdaan @Verwijderd8 november 2012 12:16
De meeste infecties komen door gebruikers en dan vooral die gebruikers die zeggen: "Ik gebruik anti-virus X er kan mij niets overkomen!" of ''Ik gebruik software Y nooit dus ik loop minder gevaar!"

En dan vervolgens twee jaar aan Windows(en al het andere) updates achterlopen...
Verwijderd @Toettoetdaan8 november 2012 15:37
Zoals je hierobven kan lezen gaat het om een zeroday. Je reactie raakt dan ook kant noch wal
ameesters @Toettoetdaan8 november 2012 12:29
Ik draai linux, wat kan mij nou overkomen...

PS) in linux/chromium word ik al een tijdje gewaarschuwed dat een PDF schadelijk kan zijn voor de computer... Zou het zijn dat dit al een tijdje bekend is?
Verwijderd @ameesters8 november 2012 12:34
Nee. Dat is omdat er ook linux exploits zijn die linux systemen overmeesteren d.m.v. java/adobe.... :+
Auredium @ameesters8 november 2012 12:48
Het is niet welk O.S. of welke software je draait. Als je stupid bent als gebruiker dan is je systeem ook onveilig. Ik ben een keer dom geweest onder Linux en werd daar ook door afgestraft. :+

Regadless; Om ontopic te blijven. Adobe Reader is een veel gebruikt programma wat door velen wordt gezien als het PDF programma. Dat de software ook nog eens gratis is en op meerdere besturingssystemen loopt betekend dat het een scala aan potentiele infecties kan opleveren. Ik zie het nut er wel van in. Je maakt een PDF voor een doelgroep die je wilt treffen en lanceerd deze. Je PDF wordt gelezen door de doelgroep, de exploit is gemaakt en je kan gaan cashen als hacker.

Stel je voor dat Chinese goldfarmers een handleiding voor WoW of Diablo uitbrengen en die verspreiden. Zelfs als de inhoud bogus is zullen ze een aardig aantal infecties veroorzaken en zo bijvoorbeeld accounts kunnen hacken. Om maar even een heel simpel voorbeeldje te noemen.
Weyland @ameesters8 november 2012 12:50
Er zijn genoeg exploits voor Linux die op de zelfde manier kunnen werken als een Windows systeem. Neem bijvoorbeeld je Java 7.06 zero-day van een aantal maanden geleden. Dit was een multiplatform exploit die, afhankelijk van je OS, een andere payload op je computer plaatste.
laptopleon @Verwijderd8 november 2012 15:41
Je ook gewoon je computer niet gebruiken.. Nauwelijks een oplossing te noemen.

Wordt wel steeds lastiger naarmate PDF meer en meer gebruikt wordt. Verzekeringspolissen, facturen etc worden meer en meer standaard in digitaal formaat aangeboden.
himlims_ 8 november 2012 11:54
bekijk pdf documenten enkel via webbased viewer; maakt je dat ook kwetsbaar voor dit soort acties?

//edit; @ biglia;
https://docs.google.com/viewer <- url van de pdf in dumpen en bekijken

[Reactie gewijzigd door himlims_ op 25 juli 2024 07:50]

TvdW @himlims_8 november 2012 12:03
Nee, webbased viewers voegen een extra laag toe tussen de PDF en jouw computer. Geldt trouwens ook voor pdf.js, de javascript-based PDF viewer die je kunt gebruiken in Firefox.

[Reactie gewijzigd door TvdW op 25 juli 2024 07:50]

AmonTobin @TvdW8 november 2012 13:48
Met een webbased viewer draait er niet lokaal een Adobe Reader process, dus kan deze ook niet lokaal andere processen spawnen.
biglia @himlims_8 november 2012 12:48
Hoe doe je dit? Stel dat er een direct link naar een pdf bestand staat op een website.
preske @himlims_8 november 2012 23:27
Of alternatieve readers zoals foxit?
Verwijderd 8 november 2012 11:57
Nee, zolang je de pdf bestanden alleen opent via de web interface ben je niet kwetsbaar. Je moet Adobe Reader dan ook niet geïnstalleerd hebben.
vosjeNL 8 november 2012 13:58
Wil dit dan zeggen dat een virus via deze lek binnen komt? Ik weet toevallig dat een lek in jave er voor kan zorgen dat het Ukash virus naar binnen kan komen...
RoestVrijStaal 8 november 2012 14:34
Mijn vraag is nou: is dit nu specifiek een exploit in de implementatie van PDF lezen van Adobe of zit de exploit in het PDF-formaat zelf en zijn andere viewers zoals SumatraPDF ook de klos?
Verwijderd 8 november 2012 15:20
Dat zou zomaar kunnen, Adobe Reader is wel vaker lek. Adobe heeft zelfs al eens gebruikers aangeraden om MS EMET te installeren als extra beveiligingslaag tegen zero day exploits: https://www.adobe.com/sea...advisories/apsa10-02.html
Verwijderd 8 november 2012 13:43
Kan iemand lezen wat het url van de pdf is in de video? het lijkt opt http://antarez.com/terror_sc.pdf, maar dat lijkt niet te kloppen.

edit: ongewenst? Wij zijn tweakers. Wij onderzoeken dingen. Wij delen kennis. Kom op, zeg.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:50]

Verwijderd @Verwijderd8 november 2012 15:37
Als in een link mogelijk een virus zit deel je het op een manier dat je er niet ongewenst op kunt klikken.
Verwijderd @Verwijderd8 november 2012 16:45
edit: ongewenst? Wij zijn tweakers. Wij onderzoeken dingen. Wij delen kennis. Kom op, zeg.

Er zijn regels op deze site, deze link lijkt me wel legatiem omdat het om beveiliging gaat, en niet hoe je moet hacken.
marcel-o 8 november 2012 12:18
Ik gebruik dan ook gewoon de Chrome browser om pdf's te openen.

scheelt weer n stukje agressief zwaar stukje software op de opgeruimde pc :)
woekele @marcel-o8 november 2012 13:03
En in de chrome-implementatie van het tonen van pdf-bestanden zit nooit een lek? :)
TheBlackbird 8 november 2012 15:14
Je browser of Adobe reader in Sandboxie draaien dan maar? Ik browse meestal zo, en dan heeft de applicatie in theorie geen toegang tot je eigenlijk systeem.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq