17 september 2006
Een Britse beveiligingsexpert heeft een manier ontdekt om de functies van Adobe PDF-bestanden te manipuleren en op die manier 'back doors' te creëren voor latere computeraanvallen. David Kierznowski, een expert gespecialiseerd in het uitvoeren van penetratietesten bij het gebruik van webapplicaties, heeft programmacode als 'proof-of-concept' gepubliceerd vergezeld van gemanipuleerde PDF-bestanden om te demonstreren hoe Adobe Acrobat Reader gebruikt kan worden om aanvallen uit te voeren zonder enige actie van een gebruiker. 'I do not really consider these attacks as vulnerabilities within Adobe. It is more exploiting features supported by the product that were never designed for this', zo stelt de expert. De eerste 'back door' bestaat uit het toevoegen van een kwaadaardige link aan een PDF-bestand. Als het document is geopend wordt automatisch de browser opgestart en wordt de opgenomen hyperlink geladen. 'At this point, it is obvious that any malicious code [can] be launched', zo stelt Kierznowski.
Het gebruik van dit soort technieken 'to launch drive-by malware downloads' is een welbekende tactiek en het feit dat dit nu ook met PDF downloads mogelijk is bevestigt opnieuw dat desktop programma's lucratieve doelen geworden zijn voor bedrijfsspionage of andere gerichte aanvallen. Een tweede 'back door' maakt gebruik van Adobe Systems' ADBC (Adobe Database Connectivity) en Web Services support. Kierznowski stelt dat de back door gebruikt kan worden om een volledige versie van Adobe Professional te gebruiken. 'The second attack accesses the Windows ODBC (on localhost), enumerates available databases and then sends this information to 'localhost' via the Web service. This attack could be expanded to perform actual database queries. Imagine attackers accessing your internal databases via a user's Web browser', zo vervolgt hij. Kierznowski stelt dat er minimaal zeven verschillende punten in PDF-bestanden zijn die gebruikt kunnen worden om 'malicious code' te starten. '[With] a bit more creativity, even simpler and/or more advanced attacks could be put together', zo stelt hij, waarbij hij opmerkt dat Adobe Acrobat het gebruik van HTML-formulieren ondersteunt, net als het 'File system access'. 'One of the other interesting finds was the fact that you can back-door all Adobe Acrobat files by loading a back-doored JavaScript file into [a local] directory', zo zegt Kierznowski in een blog, die de door hem geschreven code bevat. Een woordvoerder van Adobe liet weten dat het bedrijf zich bewust is van de ontdekking van Kierznowski en dat het de zaak onderzoekt. 'If Adobe confirms that a vulnerability might affect one of our products, details of the security vulnerability and an appropriate solution [will be] documented and published', zo liet het in San Jose, Californië, gevestigde bedrijf weten. Kierznowski stelt dat zijn interesse in het onderzoek van PDF-bestanden voor de mogelijkheid van 'back doors' voortkomt uit zijn fascinatie met het concept 'passive hacking'. 'Active exploitation techniques such as buffer overflows are becoming more and more difficult to find and exploit … The future of exploitation lies in Web technologies', zo zegt hij. 'Internal users are often in a relationship of trust with the surrounding network. … This form of hacking merely manipulates the user's client to perform a certain function, effectively using the user's circle of trust'. In de blog van Security Viewpoints worden mogelijkheden genoemd om het gebruik van deze backdoors te vermijden.