Dit nieuwe beveiligingsrisico maakt geen gebruik van een gat in het PDF-formaat of in Adobe's software daarvoor. Het is een uitwerking van de Belgische ontdekking dat PDF-bestanden uitvoerbare code (executables) - of verwijzingen daarheen - in zich kunnen dragen, die met slechts een waarschuwingsvenster actief kan zijn op de pc van een gebruiker.

Besmettingsfunctie

Dit lek zit in het bestandsformaat PDF zelf en werkt dan ook op alternatieve PDF-software zoals de Foxit Reader. De ontdekking van de Belgische security-expert Didier Stevens is door collega Jeremy Conway aangepast om PDF-bestanden een besmettingsfunctie te geven. Daarvoor is geen JavaScript nodig; het PDF-formaat volstaat. Conway geeft geen details of code vrij over zijn aanpassing.

Vervolgens heeft echter een Koreaanse blogger, YunSoul, geheel onafhankelijk een eigen proof-of-concept gemaakt. Bij die implementatie van Conway's methode zijn in één keer meerdere PDF-bestanden te besmetten door een malafide PDF. Conway claimde al dat zijn aanval ook van toepassing is op meerdere PDF-bestanden, wat dus bewaarheid is geworden door YunSoul's methode. In theorie is het ook mogelijk via deze PDF-wormen andere aanvallen te ondernemen, zoals het besmetten van Word-documenten met malafide macro's.

Functionaliteit beperken

Adobe, maar ook Foxit, kijkt nu welke maatregelen het kan nemen om misbruik van deze functionaliteit te beperken. Foxit heeft zijn readerprogramma al voorzien van een waarschuwingsvenster bij uitvoerbare code. Steve Gottwals van Adobe stelt dat de ontdekking van Stevens een goed voorbeeld is van een krachtige functie waar sommige gebruikers op vertrouwen, die echter ook potentiële security-risico's met zich meebrengt wanneer die functie incorrect wordt gebruikt door anderen.

Gottwals verwijst naar het waarschuwingsvenster dat Adobe Reader en Acrobat de gebruiker voorschotelen als er uitvoerbare code wordt aangeroepen. "Dat waarschuwingsbericht bevat krachtige bewoordingen die gebruikers adviseren het bestand alleen te openen en uit te voeren als het van een vertrouwde bron komt. De standaardoptie in dat dialoogvenster is het bestand niet uit te voeren."

Adobe neemt de zaak wel serieus en onderzoekt nu wat te doen aan deze functionaliteit. Gottwals meldt dat er mogelijk een wijziging wordt doorgevoerd middels een van de geplande kwartaalupdates voor Adobe's PDF-software. Hij geeft eindgebruikers nog het advies de functionaliteit te beperken door via Voorkeuren deze optie in de Trust Manager uit te schakelen. Beheerders kunnen dat automatisch met een registerwijziging doorvoeren.

Te brede specificaties

Hoofdonderzoeker Mikko Hypponen van securityleverancier F-Secure blogt dat het PDF-bestandsformaat op zichzelf onveilig is doordat het veel te veel functionaliteit bevat. "Adobe's PDF Reader krijgt veel kritiek voor de slechte beveiliging. Maar de problemen met PDF gaan verder dan een specifiek merk PDF-reader. Heb je wel eens naar de specificaties voor het bestandsformaat gekeken? Je kunt die hier downloaden (PDF) en ze zijn 756 pagina's lang. Serieus."

"Er zit nogal bizar spul in de PDF-specs. Kijk hier maar eens naar." Hypponen zet enkele van de mogelijkheden van PDF op een rijtje. Dat formaat kan naast het veel misbruikte JavaScript en de nu ontdekte ingebedde executables ook mediabestanden, formulieren en andere functies in zich dragen. Formulieren kunnen bijvoorbeeld automatisch input van gebruikers uploaden naar een externe webserver.

Favoriet formaat

"Je kunt films en liedjes inbedden in PDF-bestanden. En ze kunnen 3D-objecten compleet met JavaScript bevatten. Wie bedenkt er dit soort dingen?", klaagt Hypponen. "Die onbekende features verklaren waarom PDF-applicaties zoals Adobe Reader er eeuwen over doen om te laden en waarom het bestandsformaat sinds een jaar zo'n grote favoriet is bij hackers." Hypponen adviseert om PDF-bestanden te openen in bijvoorbeeld Google Docs.

Jeremy Conway's demonstratie van een PDF-worm:

[youtube]QNxJTt4vOT0[/youtube]

YunSoul's demonstratie van een PDF-worm:

[youtube]Cn0j1eJ0FxY[/youtube]

Bron: Webwereld