Adobe: malware in PDF-bestand is feature
Het inbedden van uitvoerbare bestanden is zo'n belangrijke feature voor Adobe Reader, dat Adobe bewust de functie niet heeft uitgeschakeld. Vorige week verscheen een beveiligingsupdate die onder andere het Launch-lek moest dichten. Via deze kwetsbaarheid is het mogelijk voor aanvallers om malware in PDF-bestanden te stoppen, die bij het openen van de PDF wordt uitgevoerd. Er verschijnt wel een waarschuwingsvenster, maar dat was in eerste instantie nog te manipuleren.
Het werd snel duidelijk dat dit "onpatchtbare" social engineering-lek nog steeds te misbruiken was. Als oplossing had Adobe een blacklist toegevoegd die toegang tot bepaalde bestanden moest blokkeren. Werden er echter quotes om het bestand gezet, dan kon een aanvaller nog steeds aan de gebruiker vragen of die het bestand wilde openen.
Woorden
"We hebben vastgesteld dat het standaard uitschakelen van niet-PDF bijlagen met externe applicaties een negatieve impact op een behoorlijk deel van onze klanten heeft, door bestaande workflows te breken", aldus Adobe beveiligingschef Brad Arkin. Die verwijst naar de blacklist om het openen van uitvoerbare bestanden te blokkeren, maar erkent dat het "geen perfecte oplossing is om tegen mensen met kwade bedoelingen te beschermen." Toch gaat Adobe kijken of er vanwege het nieuw ontdekte probleem aanpassingen aan de blacklist nodig zijn.
Verder is het waarschuwingsvenster aangepast, dat gebruikers via "krachtige bewoording" waarschuwt dat ze het bestand alleen moeten openen als het van een betrouwbare bron afkomstig is. De Belgische PDF-onderzoeker Didier Stevens heeft inmiddels een oplossing van het probleem gevonden, waarbij gebruikers het Register moeten aanpassen.
Uiteraard is "malware" niet de feature, maar het "openen van andere bestanden".
Dat dit voor malware misbruikt kan worden, dat is een feit.
Maar met deze titel lok je weer meer mensen.
Een soort shock-and-awe.
Jammer... Niet nodig.
Adobe had deze 'feature' nooit op deze manier mogen bouwen, iedereen met een klein beetje verstand kan zien dat het op allerlei manieren misbruikt kan worden. Verder hoort iedereen die zich met het maken van dit soort programmatuur bezig houdt te weten dat je deze problemen niet op kunt lossen met blacklists.
Kort gezegd, waardeloze reactie van Adobe. Helaas is het geen verrassing voor mensen die al langer met het bedrijf te maken hebben.
Dat is geen feature, dat is design technisch stom.
fork()>exec() en meer niet. Alleen door een proces uit te voeren aub en niet op last van een bestand. Het idee alleen al.
En ik heb nog nergens een organisatie gezien die zó afhankelijk is van deze 'functie' dat uitschakelen echt niet kan. Voorbeelden graag.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.