Nieuws
image

Foxit Reader kwetsbaar voor Adobe exploit

dinsdag 6 april 2010, 11:04 door Redactie, 20 reacties

Een beveiligingsupdate voor Foxit Reader voorkomt dat malware in een PDF-bestand automatisch bij het openen van de PDF wordt uitgevoerd, toch veroorzaakt de patch een nieuw probleem. Net als Adobe Reader waarschuwt Foxit Reader nu voor ingebedde uitvoerbare bestanden. De Belgische onderzoeker Didier Stevens die het probleem ontdekte, komt nu met het nieuws dat zijn Adobe Reader aanvalscode nu ook voor Foxit Reader werkt.

Volgens de Belg betekent dit dat Foxit Software de manier heeft aangepast waarop argumenten aan de te lanceren applicatie worden doorgegeven. Het gaat dan met name om het gebruik van de /Launch actie. Stevens merkt op dat Adobe Reader een Trust Manager heeft, die ook het openen van niet-PDF bijlagen met externe applicaties uitschakelt. Deze instelling schakelt ook de /Launch actie uit.

Reacties (20)
06-04-2010, 11:19 door Bitwiper
Stevens merkt op dat Adobe Reader een Trust Manager heeft, die ook het openen van niet-PDF bijlagen met externe applicaties uitschakelt. Deze instelling schakelt ook de /Launch actie uit.
Klopt, alleen is dit helaas een per user instelling.

Als je in Trust Manager het openen van bijlagen blokkeert (Nederlands: kies menu Bewerken, Voorkeuren..., Betrouwbaarheidsbeheer en haal het vinkje weg voor "Het openen van niet-PDF bijlagen in externe toepassingen toestaan"), dan wordt onder HKCU\Software\Adobe\Acrobat Reader\<versie nummer>\Originals\ een REG_DWORD value genaamd "bAllowOpenFile" met waarde 0 aangemaakt (vreemd genoeg wordt die waarde in het register weer verwijderd zodra je het vinkje terugzet).

Ik even geprobeerd dezelfde waarde onder HKLM aan te maken (in de hoop dat deze daarmee voor alle gebruikers zou gelden en niet zou kunnen worden gewijzigd), maar helaas leek dit geen enkel effect te hebben.

Voordat ik roep dat Adobe haar programma's beter manageable moet maken, weet iemand of je met policies o.i.d. dit soort instellingen toch kunt forceren (op de BOFH manier, dwz zodanig dat gewone gebruikers dit niet kunnen wijzigen?)

(aanvulling 12:35: value name "bAllowOpenFile" toegevoegd, was ik vergeten)
06-04-2010, 11:28 door Spiff has left the building
Net als Foxit Reader mist ook PDF-XChange Viewer onder Voorkeursinstellingen/ Preferences zoiets als een Betrouwbaarheidsbeheer/ Trust Manager waarin de optie "Het openen van niet-PDF bijlagen in externe toepassingen toestaan" uitgeschakeld kan worden.
06-04-2010, 12:08 door Didier Stevens
@Bitwiper Kijk eens naar de Adobe Customization Wizard, misschien kan je hiermee de setting aanpassen.
06-04-2010, 12:36 door Bitwiper
Door Didier Stevens: @Bitwiper Kijk eens naar de Adobe Customization Wizard, misschien kan je hiermee de setting aanpassen.
Thanks Didier, kijk ik vanavond naar!
06-04-2010, 13:36 door [Account Verwijderd]
[Verwijderd]
06-04-2010, 13:46 door Spiff has left the building
Ik heb zonet, met verwijzing naar Didier Stevens' blogs, Tracker Software gemeld dat het wellicht verstandig is een mogelijkheid om "Het openen van niet-PDF bijlagen in externe toepassingen toestaan" uit te schakelen ook in te bouwen in PDF-XChange Viewer.
06-04-2010, 14:18 door Spiff has left the building
Tracker Software heeft een vlotte PDF-XChange Viewer support-afdeling.
Ik ontving zonet al een reactie:

Yes we are already aware of this and it is technically not an "issue" with either PDF Viewer. It comes from the specification that allows execution of non PDF files.
We have decided to go for a different approach and will Always ask the users when opening non PDF attachments in a PDF document (For the moment you can select "do not ask me again") - it will still allow the user to execute such files as sometimes it might be his intention to do so.
If you have a registration on our forums you can have a look at this topic:
http://www.docu-track.com/forum3/viewtopic.php?f=35&t=8067
06-04-2010, 14:22 door Spiff has left the building
Ik heb zonet, met verwijzing naar Didier Stevens' recente blog, ook Foxit Corporation gemeld dat het wellicht verstandig is een mogelijkheid om "Het openen van niet-PDF bijlagen in externe toepassingen toestaan" uit te schakelen in te bouwen in Foxit Reader.
Ik ben benieuwd of Foxit Corporation ook zo vlot reageert. En vooral ook hoe.
06-04-2010, 16:38 door Spiff has left the building
Ook Foxit heeft een vlotte support-afdeling.
Daarvan ontving ik zonet de volgende reactie:

"We are aware of this vulnerability and should have it fixed by the end of this week.
To be notified, please sign up for the Foxit Newsletter here:
http://www.foxitsoftware.com/mailinglist/subscribe.php
Or you can check back on our website at the weekend to see the news. Thanks."

Opnieuw een Foxit Reader update dus wellicht.
06-04-2010, 19:45 door cyberpunk
Bedankt, Spiff!
07-04-2010, 07:32 door Rene V
Ik vraag me af of Adobe net zo snel had gereageerd. ;-)
07-04-2010, 10:31 door Bitwiper
Door Didier Stevens: @Bitwiper Kijk eens naar de Adobe Customization Wizard, misschien kan je hiermee de setting aanpassen.
Met wat moeite en zoeken aan de praat gekregen. Ik heb nu een (Engelstalige) Adobe Reader 9.3.1 waarin, als ik naar menu "Edit", "Preferences...", "Trust Manager" ga, er geen vinkje staat onder "PDF File Attachments". Bovendien is dit vakje grijs, m.a.w. ik kan geen vinkje zetten. Dit geldt zowel voor administrators als ordinary users. Ik heb nog niet kunnen vinden waar deze "policy"-achtige instelling precies staat.

ECHTER: ondanks deze instelling werkt Didier's test PDF wel! (http://didierstevens.com/files/data/launch-action-cmd.zip)
Ik krijg de vraag-dialoogbox, en als ik op Open klik, start cmd.exe...

Als ik aanvink "Do not show this message again" wordt die dialoogbox niet meer getoond zolang Acrobat Reader nog draait, maar verschijnt wel weer na herstarten van Adobe Reader. Ook dit gedrag is hetzelfde voor administrators als voor ordinary users.

LET OP: e.e.a. onder voorbehoud, ik moet hier nog verder onderzoek naar doen (heb nu even geen tijd meer), maar m'n eerste gevoel is dat dit goed fout zit en admins met de Acrobat Reader Customization Wizard compleet op het verkeerde been kunnen worden gezet. In elk geval testen dus!

Met dank aan Didier voor zijn onderzoek + publicatie daarvan en het beschikbaar stellen van de testfile :)
07-04-2010, 10:51 door Didier Stevens
Door Spiff:
Tracker Software heeft een vlotte PDF-XChange Viewer support-afdeling.
Ik ontving zonet al een reactie:

Ter info: naar aanleiding van dit bericht heb ik mijn PoC PDF ook naar Tracker Software gestuurd.
07-04-2010, 11:21 door Spiff has left the building
Door Didier Stevens:
Ter info: naar aanleiding van dit bericht heb ik mijn PoC PDF ook naar Tracker Software gestuurd.
Heel goed, bedankt.

Natuurlijk had ik in mijn mail aan Tracker Software, gisteren, ook de links naar je blog opgenomen (zowel Escape From PDF als ook Update: Escape From PDF), maar de reactie van Tracker Software gaf me het idee dat een en ander misschien niet helemaal goed begrepen werd.
Daarom heb ik Tracker Software gisteravond laat een vervolgreactie gestuurd. Daarin heb ik aangegeven dat het huidige systeem wellicht onvoldoende is om de gebruiker te beschermen, vanwege het feit dat manipulatie van de inhoud van de meldingsvenstertjes niet geheel uit te sluiten is. En dat het daarom goed zou zijn om een mogelijkheid aan te bieden vergelijkbaar met wat Adobe doet met Betrouwbaarheidsbeheer/ Trust Manager.
Wanneer ik daarop een reactie ontvang, zal ik daar hier opnieuw even over berichten.
07-04-2010, 18:55 door Spiff has left the building
Zoals beloofd, hier de reactie van Tracker Software, op mijn mail van gisteravond laat, waar ik het hierboven in m'n bericht van 11.21 uur over had:

As [my colleague] mentioned we have made the decision to always warn users when an executable is being launched. Your suggestion to add a feature in the preferences to set the Viewer to Always disallow launching anything that is not a PDF is being considered also.
Ultimately we cannot always protect the customer in all cases, opening any unknown file is always inherently dangerous and users should be aware of this. Having said that, there is a good chance that we will however add the feature mentioned above.
08-04-2010, 23:51 door Bitwiper
Voor degenen die het vervolg willen lezen van de issues in PDF-XChange (Tracker Software) en het niet goed werken van Acrobat Reader policies gezet m.b.v. de Adobe Customization Wizard, lees verder onder http://www.security.nl/artikel/32980/1/Adobe_geeft_oplossing_voor_PDF-aanval.html
14-04-2010, 17:44 door Spiff has left the building
Er is inmiddels een update voor PDF-XChange Viewer,
die het verbieden van "het openen van niet-PDF bijlagen in externe toepassingen" mogelijk maakt,
vergelijkbaar met Trust Manager (Betrouwbaarheidsbeheer) van Adobe.

Zie mijn forum-bericht:
http://www.security.nl/artikel/33054/1/PDF-XChange_Viewer_update_%21.html
15-04-2010, 12:16 door Spiff has left the building
En wat Foxit betreft:

Ik kreeg gisteravond laat een reactie van Foxit Corporation.
Ik werd verwezen naar update 3.2.1.0401, die zou het probleem dat ik had aangekaart al verholpen hebben.
Ze hebben het daar bij Foxit blijkbaar niet begrepen.

Ik heb Foxit er opnieuw op gewezen dat een beveiligingsoptie zoals in Adobe's "Trust Manager" of PDF-XChange Viewer's "File open and Program Launch Actions" nog ontbreekt in Foxit Reader.
Ik heb ook verwezen naar een bijdrage op het Foxit Reader forum waar BerFox hetzelfde heeft aangekaart:
Topic "How does Foxit handle the most recent Didier Stevens PoC"
http://forums.foxitsoftware.com//showthread.php?t=18026
en dan daarin post #8,
"Foxit dev team working on requested feature or not?"
http://forums.foxitsoftware.com//showpost.php?p=41713&postcount=8

Ik ben benieuwd of Foxit dit alsnog gaat oppakken.

Vooralsnog is PDF-XChange Viewer beslist mijn favoriet.
Heb je echter genoeg aan een wat Spartaanser PDF reader, dan blijft Sumatra PDF natuurlijk ook een prima keus.
Of nog een andere PDF reader: http://pdfreaders.org/
16-04-2010, 00:38 door Spiff has left the building
Vervolgend met de berichtgeving over Foxit Reader,
betreffend mijn suggestie een beveiligingsoptie zoals in Adobe's "Trust Manager" of PDF-XChange Viewer's "File open and Program Launch Actions" te integreren in Foxit Reader:

Ik ontving zonet de volgende reactie van Foxit Software:
" Hello Sir I can forward your suggestion to our Product manager so they can discuss this feature's addition in a new version of Reader."

Dat schiet niet bepaald op zo.
Er lijkt dus niet, zoals vorige week nog beweerd werd, heel spoedig weer een update voor Foxit Reader aan te komen, met die specifieke beveiligings-mogelijkheid toegevoegd.

Ik zal het vervolg van de thread op Foxit Reader forum in de gaten houden,
om te zien of dezelfde suggestie van BerFox serieus opgepakt wordt:
Topic "How does Foxit handle the most recent Didier Stevens PoC"
http://forums.foxitsoftware.com//showthread.php?t=18026
en dan daarin post #8,
"Foxit dev team working on requested feature or not?"
http://forums.foxitsoftware.com//showpost.php?p=41713&postcount=8


Tracker Software heeft dit voor PDF-XChange Viewer duidelijk vlotter opgepakt dan Foxit Corporation.
Pluspunt voor Tracker Software.
17-04-2010, 12:57 door Spiff has left the building
Duurt mijns inziens allemaal véél te lang bij Foxit.
Ik heb zonet nog maar eens een extra zetje gegeven.

Zie Foxit Reader forum:
[Features] Needed: "Disallow opening of non-PDF file attachments with external applications"
http://forums.foxitsoftware.com/showthread.php?t=18162
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search