image

Eerste echte Launch-aanval in PDF-bestand

woensdag 28 april 2010, 14:08 door Redactie, 14 reacties

Inmiddels zijn ook virusschrijvers bekend met het verstoppen van malware in PDF-bestanden en doen ze dat zonder het gebruik van JavaScript. Laatst werd al gewaarschuwd dat de Zeus Trojan de /Launch feature gebruikt om zichzelf in een PDF-bestand te verbergen. De Belgische onderzoeker Didier Stevens vond een manier om een uitvoerbaar programma in een PDF-bestand te verstoppen, die bij het openen van de PDF werd uitgevoerd. Gebruikers kregen als enige een waarschuwing, maar die is deels door de aanvaller te manipuleren.

In het geval van Zeus gebruikte het Trojaanse paard de Metasploit PDF module, die de /Launch feature niet ten volle gebruikt. "Dat telt dus niet als de eerste aanval", zegt beveiligingsexpert Jeremy Conway.

Vaker
Hij ontdekte een kwaadaardig PDF-bestand dat via een Visual Basic script malware installeert. Voor de aanval is geen JavaScript vereist, maar gebruikers krijgen nog steeds een waarschuwing of ze het bestand willen openen.

"Het slechte nieuws is dat dit pas de eerste poging is die de /Launch actie gebruikt om malware zonder JavaScript te verspreiden en ik wil geen slecht nieuws brengen, maar het zal zeker niet de laatste of meest geraffineerde poging zijn", besluit Conway.

Reacties (14)
28-04-2010, 14:34 door Anoniem
je kan zelfs in avi of mp3 bestanden virussen of trojans verstoppen als je kwaad zou willen.
Dus daar moet ook rekening meegehouden worden.
28-04-2010, 14:49 door Anoniem
hallo,

ik ben geen pc-techneut,
ik gebruik zelf "PDF-XChange Viewer", is dat ook kwetsbaar ?
28-04-2010, 15:15 door T3K_
Door Anoniem: je kan zelfs in avi of mp3 bestanden virussen of trojans verstoppen als je kwaad zou willen.
Dus daar moet ook rekening meegehouden worden.
Op de manier waarop je het beschrijft kan het niet. Er zal altijd een exe uitgevoerd moeten worden.
28-04-2010, 15:43 door Anoniem
Door Anoniem: hallo,

ik ben geen pc-techneut,
ik gebruik zelf "PDF-XChange Viewer", is dat ook kwetsbaar ?

Volg deze link eens en lees.
http://www.security.nl/artikel/33054/1/PDF-XChange_Viewer_update_!.html
28-04-2010, 15:50 door Spiff has left the building
Door Anoniem, 14.49 uur: ik gebruik zelf "PDF-XChange Viewer", is dat ook kwetsbaar ?
In principe wel.

Met versie 2.0.50.0 (release 13-04-2010) bestaat er een mogelijkheid om de beveiliging te verbeteren.
Zie:
http://www.security.nl/artikel/33054/1/PDF-XChange_Viewer_update_%21.html

Update naar deze versie 2.0.50.0
Als Administrator: PDF-XChange Viewer \ Help \ Check for Updates.

Na het updaten naar 2.0.50.0,
doe het volgende:

Taakbalk \ Edit \ Preferences \ Categories \ Security \ File Open and Program Launch Actions \
\ Allow Launch Actions \ Kies: "Never"
\ Allow File Attachment opening \ Kies: "Never"
Klik Apply
Klik OK

Zie ook deze afbeelding:
http://img341.imageshack.us/img341/2401/pdfxchangefileopenandpr.jpg

Het volgende is ook verstandig:

Taakbalk \ Edit \ Preferences \ Categories \ JavaScript \ Haal het vinkje weg bij "Enable JavaScript Actions"
Klik Apply
Klik OK

(In de Nederlandstalige instelling is Edit "Bewerken", Preferences is "Voorkeurinstellingen", en Security is "Veiligheid".)
28-04-2010, 16:08 door Anoniem
Deze malware werd gisterenochtend via email gespamd.

From: "support@mydomain" <support@mydomain>
Subject: setting for your mailbox are changed

SMTP and POP3 servers for user@mydomain mailbox are changed. Please carefully read the attached instructions before updating settings.
28-04-2010, 16:34 door Eerde
Humor :)
28-04-2010, 16:40 door Didier Stevens
Ik heb de PDF in kwestie kunnen analyseren en deze is inderdaad gelijkaardig aan mijn ongepubliceerde PoC.
En er zit ook een stukje social engineering in om de boodschap van het dialoog venster aan te passen:

Click the "open" button to view this document:)
28-04-2010, 17:25 door Ilja. _V V
Omdat ik gisteren erachter kwam dat Foxit niet in staat bleek een handleiding goed via een netwerk te printen, & ik dus weer terug moest naar Adobe, heb ik vandaag gDoc van Global Graphics geinstalleerd & geprobeerd.
Dat werkt goed & de gewraakte functie zit er volgens mij niet eens in.
Bovendien ziet het er een stuk beter uit, zowel ten opzichte van Foxit als Adobe (Ja, ook lekker belangrijk! ;-) ).
28-04-2010, 20:01 door Anoniem
Door Spiff:
Door Anoniem, 14.49 uur: ik gebruik zelf "PDF-XChange Viewer", is dat ook kwetsbaar ?
In principe wel.

Met versie 2.0.50.0 (release 13-04-2010) bestaat er een mogelijkheid om de beveiliging te verbeteren.
Zie:
http://www.security.nl/artikel/33054/1/PDF-XChange_Viewer_update_%21.html

Update naar deze versie 2.0.50.0
Als Administrator: PDF-XChange Viewer \ Help \ Check for Updates.

Na het updaten naar 2.0.50.0,
doe het volgende:

Taakbalk \ Edit \ Preferences \ Categories \ Security \ File Open and Program Launch Actions \
\ Allow Launch Actions \ Kies: "Never"
\ Allow File Attachment opening \ Kies: "Never"
Klik Apply
Klik OK

Zie ook deze afbeelding:
http://img341.imageshack.us/img341/2401/pdfxchangefileopenandpr.jpg

Het volgende is ook verstandig:

Taakbalk \ Edit \ Preferences \ Categories \ JavaScript \ Haal het vinkje weg bij "Enable JavaScript Actions"
Klik Apply
Klik OK

(In de Nederlandstalige instelling is Edit "Bewerken", Preferences is "Voorkeurinstellingen", en Security is "Veiligheid".)


he bedankt voor de reactie,

nog 1 vraagje, nu ik die instellingen heb veranderd, zijn daar consequenties aan verbonden waar ik moet op letten ?

groet, ben.
28-04-2010, 20:03 door Anoniem
Sample

http://puffin.net/software/spam/samples/0007_pdf_mal.txt
28-04-2010, 20:45 door spatieman
PDF moet simpelweg VERBODEN worden.......
29-04-2010, 10:40 door Spiff has left the building
Door Anoniem (Ben), woe 28-04, 20.01 uur:
nog 1 vraagje, nu ik die instellingen heb veranderd, zijn daar consequenties aan verbonden waar ik moet op letten ?

Um, je hoeft niet zozeer ergens op te letten.

Maar de consequentie van het in PDF-XChange kiezen voor "Never" bij "File Open and Program Launch Actions" is natuurlijk dat launch-acties niet meer uitgevoerd kunnen worden, dus dat een in een pdf verpakt/verstopt uitvoerbaar bestand niet uitgevoerd kan worden. Of zoals Adobe dat zegt: "het openen van niet-PDF bijlagen in externe toepassingen" wordt niet meer toegestaan. Dit is de veiligste instelling.

Voor het uitschakelen van JavaScript geldt een vergelijkbaar verhaal. Uitschakelen is beslist veiliger en vrijwel niemand zal die JavaScript-opties missen.
29-04-2010, 10:59 door Anoniem
Door Spiff:
Door Anoniem (Ben), woe 28-04, 20.01 uur:
nog 1 vraagje, nu ik die instellingen heb veranderd, zijn daar consequenties aan verbonden waar ik moet op letten ?

Um, je hoeft niet zozeer ergens op te letten.

Maar de consequentie van het in PDF-XChange kiezen voor "Never" bij "File Open and Program Launch Actions" is natuurlijk dat launch-acties niet meer uitgevoerd kunnen worden, dus dat een in een pdf verpakt/verstopt uitvoerbaar bestand niet uitgevoerd kan worden. Of zoals Adobe dat zegt: "het openen van niet-PDF bijlagen in externe toepassingen" wordt niet meer toegestaan. Dit is de veiligste instelling.

Voor het uitschakelen van JavaScript geldt een vergelijkbaar verhaal. Uitschakelen is beslist veiliger en vrijwel niemand zal die JavaScript-opties missen.


bedankt voor de duidelijke uitleg spiff,

groetjes en miss tot de volgende keer,

ben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.