PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Pressemitteilung avast! Virenlabor entdeckt neuen PDF Trick - Malware in Schwarz und Weiß



Merlin
28.04.11, 18:24
PRAG, Tschechische Republik, 27. April 2011 – Cyberkriminelle misbrauchen den Bildfilter um Malware Exploits zu verschlüsseln und innerhalb von Adobe PDF Dateien zu transportieren, berichtet das avast! Virenlabor.

Der Trick nutzt den JBIG2Decode Filter, der speziell dazu entwickelt wurde, monochrome Bilder zu verschlüsseln. Durch Nutzung der JBIG2Decode Filter Spezifikationen wird es dem infizierten PDF Dokument ermöglicht, unentdeckt die meisten Antivirenscanner zu passieren. Der verschlüsselte Inhalt ist das bekannte CVE-2010-0188 Exploit, eine TIFF Verwundbarkeit im Adobe Reader.

"Der JBIG2 Algorithmus funktioniert hier, weil jede Art von Daten - Text oder binär - als monochromes zweidimensionales Bild deklariert werden kann" sagt Jiri Sejtko, Senior Virus Analyst. "Wer hätte gedacht, dass ein reiner Bilderalgorithmus als Standardfilter für jeden Objektstrom verwendet werden kann? Wir haben so ein Verhalten nicht erwartet."

454

Die Objektstrom Definition, referenziert vom XFA Array, zeigt, dass das Objekt keine Bilddaten enthält und 3125 Bytes lang ist. Zwei Filter - FlateDecode and JBIG2Decode - müssen verwendet werden, um die Originaldaten zu entschlüsseln.

"Wir haben gesehen, wie dieser bösartigen Trick in einer beobachteten Umgebung verwendet wurde und darüber hinaus auch in einer kleinen Anzahl von generellen Attacken. Das erklärt möglicherweise, warum niemand anders in der Lage ist, ihn zu entdecken" fügt er hinzu.

Die Verwundbarkeit wurde bereits in aktuellen Versionen von Adobe Reader gepatcht, nur ältere Versionen des Programms sind betroffen. "Das ist ein weiterer Grund, Ihren Adobe Reader aktuell zu halten" sagt Mr. Sejtko.

Das avast! Virenlabor hat umgehend die Kennung PDF:ContEx [Susp] an Antivirencommunity herausgegegeben, nachdem der Trick durch einen beitrag bei VirusTotal entdeckt worden war. Weiterhin wurde ein Entschlüsselungsalgorithmus zur avast! PDF Engine am 21. April hinzugefügt.

Auggie
28.04.11, 18:37
Wenn ich den Artikel richtig interpretiere, wurde die entsprechende Lücke von Adobe gepatcht?
Ohne hier wirklich größere Ahnung zu haben, würde ich das Ganze fast als einen Design-Fehler des Algorythmus bezeichnen. Ein spezieller Algorythmus wie ein rein Bildalgorythmus sollte imho natürlich auch nur für Bilder verwendet werden können.
Ich frage mich, warum Bilddaten in einem PDF überhaupt verschlüsselt werden müssen.

Merlin
28.04.11, 19:07
Hallo,


Wenn ich den Artikel richtig interpretiere, wurde die entsprechende Lücke von Adobe gepatcht?

richtig. Das kommt allerdings nur zum Tragen, wenn man auch die neuste Version des Adobe Readers verwendet.


Ohne hier wirklich größere Ahnung zu haben, würde ich das Ganze fast als einen Design-Fehler des Algorythmus bezeichnen. Ein spezieller Algorythmus wie ein rein Bildalgorythmus sollte imho natürlich auch nur für Bilder verwendet werden können.

Das würde ich auch so sehen, allerdings fehlt mir dazu auch die tiefere Kenntnis des Algorithmus.


Ich frage mich, warum Bilddaten in einem PDF überhaupt verschlüsselt werden müssen.

Ich denke, dass es weniger um Verschlüsselung im eigentlichen Sinne geht, mehr jedoch um die Komprimierung bzw. den Transport in ein bestimmtes Format.

Auggie
28.04.11, 20:36
Schon im Artikel wurde ja auf die Notwendigkeit hingewiesen, den PDF-Reader aktuell zu halten.
Wurde die Lücke eigentlich publiziert von Adobe? Ich kann mich nicht wirklich erinnern, was darüber gelesen zu haben.
Das Ganze erinnert mich irgendwie an Steganographie, wo Daten in Bildern versteckt werden.

Merlin
29.04.11, 08:02
Hallo,


Schon im Artikel wurde ja auf die Notwendigkeit hingewiesen, den PDF-Reader aktuell zu halten.
Wurde die Lücke eigentlich publiziert von Adobe?

Das ist eine gute Frage, bisher glaube ich noch nicht. Vielleicht ist sie nebenher gepatcht worden oder im Rahmen einer anderen Verwundbarkeit. Es gab schon früher eine Meldung zu einer ähnlichen Lücke, die einen Buffer Overflow produzierte. Ich weiss allerdings nicht, ob es sich dabei um die gleiche Verwundbarkeit handelt. Ich denke, es handelt sich hierbei eher um eine neue Methode, die den Filter als Transport nutzt, anstatt eine Verwundbarkeit in diesem selbst.


Das Ganze erinnert mich irgendwie an Steganographie, wo Daten in Bildern versteckt werden.

Im Prinzip ist es ja auch so ähnlich, nur dass hier gar keine Bilddaten mitgeliefert werden, sondern nur Schadcode.

Auggie
29.04.11, 12:28
Das ist eine gute Frage, bisher glaube ich noch nicht. Vielleicht ist sie nebenher gepatcht worden oder im Rahmen einer anderen Verwundbarkeit.
Es gab ja erst vor kurzem ein Update für Acrobat und AcrobatReader, das es eigentlich erst beim nächsten Patchday geben sollte.
Vom Zeitpunkt käme das ungefähr hin.

Merlin
30.04.11, 20:25
Hallo,

die Lücke ist ja bis jetzt eher selten ausgenutzt worden, von daher ist fraglich, ob Adobe wirklich so schnell ein "Notfallupdate" herausgebracht hat. In der Vergangenheit waren sie ja bei weitaus größeren Lücken eher langsam. Obwohl in der letzten Zeit ja glaube ich recht viele Updates auch ausserhalb der normalen Releaseplanung erschienen sind.