PDF-Exploits unterwegs
Der deutsche Security-Spezialist Avira warnte jetzt vor polymorphen Schädlingen. Diese wandern in PDF-Dokumenten durch das Web. Erzeugt werden sie durch weiter entwickelte Exploit-Kits. Damit versuchen die Cyberkriminellen, einfachen Erkennungsmechanismen auf Basis von Prüfsummen oder Dateigröße zu entgehen.
Die Sicherheitsexperten haben die mit dem Namen ‘El-Fiesta’ erzeugten infektiösen PDF-Dateien analysiert. Die Erkennungsdateien in den Lösungen von Avira wurden angepasst. Sie können die ständig veränderten Schädlings-PDFs aufspüren und blockieren, teilte der Hersteller mit.
Die Schädlinge werden Internetnutzern mittels Drive-by-Download untergeschoben. Dazu hacken die kriminellen Drahtzieher harmlose Webseiten und binden darin eine Verknüpfung zu ihrem Exploit-Kit – in diesem Falle El-Fiesta – ein. Das Exploit-Kit sucht auf dem Rechner des potenziellen Opfers nach Sicherheitslücken in der installierten Software, um das Sicherheitsleck dann gezielt zu missbrauchen.
Die infektiösen PDF-Dateien nutzen dabei eine länger bekannte Sicherheitslücke in Adobe Reader 8.1.1 und älteren Versionen aus, die in der Datenbank von Common Vulnerabilities and Exposures unter dem Namen CVE-2007-5659 geführt wird. Es handelt sich dabei um Pufferüberläufe beim Verarbeiten überlanger Argumente in JavaScript-Funktionen. Provoziert ein JavaScript in einem PDF-Dokument so einen Pufferüberlauf, kann es fremden Programmcode in den Speicher schreiben, der anschließend vom System ausgeführt wird – etwa einen Trojaner.
Um sich zu schützen, sollten Anwender ihr Betriebssystem, die Antivirensoftware und die installierten Programme stets auf dem aktuellen Stand halten. Adobe hält seit heute das Update auf Adobe Reader Version 8.1.3 bereit, das die Sicherheitslücke nicht mehr enthält, die die Schädlings-PDFs zur Infektion des Systems ausnutzen. Version 9 des Adobe Reader ist dafür nicht anfällig.