Een Belgische onderzoeker heeft ontdekt dat hij systemen zonder enige interactie van de gebruiker via kwaadaardige PDF-documenten kan infecteren. Onlangs demonstreerde Didier Stevens al dat de Windows Explorer Shell Extensie het mogelijk maakt om malware op systemen te installeren als de gebruiker een besmet PDF bestand selecteert of met de muiscursor erboven hangt, nu is er een manier die helemaal geen interactie vereist. Wederom wordt het probleem door Adobe Acrobat veroorzaakt, zo blijkt uit deze analyse.

Het programma installeert een IFilter, dat door de Windows Indexing Service, Windows Desktop Search, SharePoint, MS SQL Server en MS Search Server wordt gebruikt. Het geeft deze applicaties de mogelijkheid om een PDF document te lezen. Stevens onderzocht de Windows Indexing Service en Windows Desktop Search en ontdekte dat die PDF bestanden indexeren, en dus de inhoud lezen. Zijn proof-of-concept exploit veroorzaakte in beide programma's een fout.

Niet dramatisch
Volgens de Belgische onderzoeker is de situatie niet dramatisch, aangezien de Windows Indexing Service normaal is uitgeschakeld. Windows Desktop Search beperkt de schade door te indexeren met een gebruikers account met beperkte rechten (local service). Op de redactie van Security.nl staat de Indexing Service echter standaard op Windows machines ingeschakeld.

"Het belangrijkste om voor ogen te houden is dat door een bijzondere samenloop van omstandigheden de mogelijkheid bestaat dat een PDF bestand een machine zonder tussenkomst van een gebruiker besmet. Als systeembeheerders oordelen dat hun machine inderdaad een risico loopt en dat de gevolgen van dit risico te ernstig zijn, dan kunnen ze IFilter uitschakelen, maar dan schakelen ze natuurlijk ook PDF indexering uit", zo laat Stevens aan Security.nl weten.