Beveiligingsexpert Jeremy Conway heeft een PDF ontwikkelt die andere PDF-bestanden kan infecteren, maar volgens critici ligt de fout met PDF-bestanden alleen bij eindgebruikers. Conway gebruikte de hack van de Belgische beveiligingsonderzoeker Didier Stevens, namelijk het inbedden van een uitvoerbaar bestand in een PDF-bestand. Wie de PDF opent, opent ook meteen het uitvoerbare bestand, hoewel Adobe Reader en Foxit Reader hiervoor een waarschuwing geven.

In het voorbeeld van Conway gebruikt hij een schoon PDF-bestand en een kwaadaardig PDF-bestand. Bij het openen van de kwaadaardige PDF, wordt de kwaadaardige code aan het schone PDF-bestand toegevoegd. De expert zal de interne code en exploit niet beschikbaar stellen, maar maakte wel de onderstaande video.

Office
Volgens Allan van Leeuwen gaat het helemaal niet om een PDF-lek, maar ligt het probleem alleen bij de eindgebruiker. Die negeert de waarschuwing van Adobe Reader of Foxit Reader. Hij maakte een soortgelijke exploit voor Microsoft Word. Ook dit bestand vraagt de gebruiker om ergens op te klikken om de versleutelde inhoud te lezen. "Als we dit een lek noemen, dan moeten we maar stoppen met het gebruik van software. De kwetsbaarheid is de stupiditeit van de gebruiker."

Didier Stevens begrijpt het commentaar op zijn woordkeuze niet. "Mijn blogpost begint namelijk met deze zin: "This is a special PDF hack: I managed to make a PoC PDF to execute an embedded executable without exploiting any vulnerability!" Ik noem het dus geen vulnerability, dus waarom zijn reactie?", zo laat hij aan Security.nl weten. Wat betreft de gemaakte Microsoft Word exploit gaat het hier om OLE en social engineering van de gebruiker. "En dit is iets dat al jaren door virusschrijvers met succes wordt gebruikt. Het om de tuin leiden van gebruikers is nog steeds een beproefde methode."

Stevens heeft in zijn malware collectie een .doc bestand dat exact hetzelfde doet. "Er zijn zelfs exemplaren waar het icoontje van de .EXE, die via OLE in het MS Word document geplaatst wordt, vervangen wordt door het icoontje van Adobe Reader! Zo lijkt het voor de doorsnee gebruiker dat er een PDF document in het Word document zit", zo besluit de Belg.

Pentesting
Ondanks alle lof voor de Belgische onderzoeker, is hij waarschijnlijk toch niet de eerste die de PDF hack ontdekte en toepaste. Op het forum van beveiligingsbedrijf Immunity meldt "Dsquare" dat dit soort bestanden als sinds 2008 aan het "D2 Exploitation Pack" zijn toegevoegd. Het gaat dan om ingebedde kwaadaardige bestanden binnen PDF-bestanden. Het D2 Exploitation Pack is een verzameling van 220 security modules voor het Immunity CANVAS programma. Hiermee kunnen pentesters de beveiliging van systemen en netwerken testen.