Ongeopende PDF kan computer toch besmetten
De Belgische beveiligingsonderzoeker Didier Stevens heeft drie manieren ontdekt waardoor het voor malware toch mogelijk is om een computer te besmetten, ook al opent de gebruiker het bestand niet. Grote boosdoener is de Windows Explorer Shell Extensie. Wie bijvoorbeeld WinZip installeert krijgt via de rechtermuisknop allerlei extra opties, zoals het uitpakken of inpakken van een bestand. In het geval van Adobe Acrobat Reader wordt de Column Handler Shell Extensie geïnstalleerd.
Een column handler is een speciaal programma dat de Windows Explorer extra gegevens van ondersteunde bestanden laat weergeven. In het geval van PDF documenten opent de PDF column handler het document om de benodigde informatie te vinden, zoals de titel en auteur. Zonder dat de gebruiker het bestand opent, wordt de inhoud toch door Windows Explorer gelezen. Hierbij zijn er drie manieren om malware uit te laten voeren:
1: De gebruiker selecteert het bestand (dus éénmaal klikken, niet openen).
2: Windows explorer met Thumbnails view.
3: Met de muiscursor boven het bestand gaan staan (niet klikken) tot de tooltip verschijnt.
"Wees dus zeer voorzichtig met het werken met kwaadaardige bestanden, je zou het bestand per ongeluk kunnen uitvoeren, zonder het zelf te openen. Daarom wijzig ik altijd de extensie van malware en verwerk ze in een geïsoleerd viruslaboratorium. Buiten het lab versleutel ik de malware", aldus Stevens. Op deze pagina heeft hij de aanvallen uitgewerkt en is een video van de exploit in actie te zien.
Inderdaad, ik beweer ook niets anders. Wat Adobe doet is een eigen Windows Explorer Shell extensie toevoegen aan Windows. En die shell extensie gaat de lekke Adobe Acrobat code aanroepen.
"Hierbij zijn er drie manieren om malware uit te laten voeren"
Het stuk code dat geexploit zou moeten worden is hier dus de shell extention?
De exploit zit dan kennelijk in de metadata van het pdf bestand?
Zijn hier dan al voorbeelden van gevonden?
Zo ongeveer ;)
Of gewoon GNU/Linux draaien en je .pdf openen met Okular, een fantastisch programma !
ROTFLMAO... spot on..
Ik zeg niet dat het niet gevaarlijk kan zijn. Maar als het over JBIG(2) gaat, dan zou het toch ook voor alles wat een preview genereert gaan en metadata toont?
Oh.... shoot... Ik moet Linux opgeven omdat het daar ook gebeurt. En niet alleen voor PDF, voor bijna alles. Welk OS doet dat niet? Win 3.11?
Mij zou interesseren of dat probleem is beperkt tot Adobe en WinZip. Gebruiken alle pdf-applicatie een handler ? (Bijv. Foxit) ?
Mij zou interesseren of dat probleem is beperkt tot Adobe en WinZip. Gebruiken alle pdf-applicatie een handler ? (Bijv. Foxit) ?
Nee, de gratis versie van Foxit reader installeert geen shell extension. Maar als je Foxit gaat gebruiken i.p.v. Acrobat en je verwijdert Acrobat niet, dan blijft de handler van Acrobat staan, en zou je zelfs de vulnerability kunnen triggeren in het "file open" dialoog venster van Foxit.
Ter verduidelijking, dit ligt niet aan Foxit, maar aan het feit dat de shell extensions ook actief zijn in het standaard open & save dialoog venster van Windows.
Maar het veiligste is gewoon voorzichtig omspringen met (PDF) bestanden van onbekende oorsprong. Open ze alleen maar als het strikt noodzakelijk is, en zo ben je al een heel stuk veiliger. Gewoon gezond verstand gebruiken.
Op Windows XP ben je voor PDF bestanden ook veel veiliger als je niet als local admin werkt op je systeem. Alle "echte" PDF malware (dus niet de proof-of-concept) die ik tot nu toe onderzocht heb doet uiteindelijk altijd hetzelfde: bestand downloaden van Internet, wegschrijven in \Windows\System32 en dan uitvoeren. Een gewone gebruiker mag niet in System32 schrijven, dus het wegschrijven lukt niet en de malware wordt niet uitgevoerd.
Als je nieuwsgierig bent naar welke shell extensions er allemaal geïnstalleerd zijn op je system, gebruik dan Autoruns van Sysinternals/Microsoft of ShellExView van Nirsoft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.