Adobe heeft met hulp van Google en Microsoft een sandbox aan Adobe Reader toegevoegd, waardoor geen enkele bekende exploit meer werkt, zo laat het bedrijf tegenover Security.nl weten. "Protected Mode", zoals de nieuwe beveiligingsmaatregel heet, draait alle code in de sandbox en voorkomt zo dat aanvallers toegang tot het register, bestanden en processen krijgen.

De techniek is gebaseerd op de sandbox van Google Chrome en de soortgelijke beveiliging in Office 2007 (MOICE) en Office 2010 (Protected View). De eerste versie van de sandbox zal alleen "write calls" afvangen, terwijl bij toekomstige versies ook read-only activiteiten worden gesandboxed. Tot de invoering van deze read-only bescherming is het in theorie nog steeds mogelijk voor aanvallers om gevoelige gegevens van een computer te stelen. "We willen duidelijk zijn in wat het is en kan. Het is namelijk geen magische oplossing", zegt beveiligingstopman Brad Arkin.

Wat betreft de bescherming tegen "transient keyloggers" is die alleen in Windows 7, Vista en Server 2008 aanwezig. Deze keyloggers bevinden zich alleen in het geheugen. Door niet naar de harde schijf te schrijven, voorkomt de malware zo detectie door virusscanners. In moderne Windows versies wordt deze aanval afgevangen. Daarnaast zorgt de protected mode in Windows XP en Server 2003 ervoor dat sommige ondersteunende technieken niet werken.

Succes
"Ons doel is het beperken van de frequentie en impact van de aanvallen op onze gebruikers. Deze feature is ontwikkeld om de risico's van buffer overflows tegen te gaan door een aanvaller na een succesvolle exploit in de sandbox vast te zetten. We willen dat het eenvoudig is voor gebruikers om deze feature in hun dagelijks gebruik van de software te gebruiken. Als dat lukt, dan is het zeker een succes", merkt Arkin op.

Alle verzoeken, zoals het aanmaken van een bestand, lopen straks via het broker proces. De broker regelt toegang tot processen, register en bestanden, afhankelijk van het ingestelde beleid. Een aanvaller die de nieuwe Adobe Reader wil aanvallen, moet zowel een lek in de sandbox als het broker-proces vinden. "Met dit tweede obstakel willen we het lastiger voor aanvallers maken."

Arkin sluit niet uit dat iemand ooit een lek in de sandbox zal vinden en dat gebruikt voor het aanvallen van de broker. "Maar de broker is erg klein en gloednieuw. We hebben het alleen voor deze release geschreven en uitgebreid getest om alle aanvalsvectoren af te slaan. Deze sandbox is dan ook een dramatische verbetering in de beveiliging van onze gebruikers", laat Arkin weten.

Robuust
"Ziet er op het eerste zicht goed uit", zegt de Belgische PDF-expert Didier Stevens tegenover Security.nl. Volgens de Belg zal het inderdaad alle bekende PDF-malware blokkeren. Hij vindt het jammer dat de read-only implementatie nog niet is afgerond. "Het is dan nog steeds mogelijk om shellcode te schrijven die informatie op de harde schijf zoekt en deze via het Internet terugstuur. Men kan argumenteren dat het schrijven van dergelijke shellcode niet gemakkelijk is, maar er bestaan technieken om dit toch vlot in C te programmeren, maar dat realiseert Adobe zich ook."

Een ander pluspunt is volgens de expert het werken met een restricted token. "Dat is ook iets dat ik aanbeveel op mijn blog en in mijn artikelen. Hierdoor is de sandbox robuuster. Als er dan iets omzeild kan worden in het sandbox mechanisme, dan zal de restricted token nog steeds geen full access geven." Verder is Stevens ook blij dat de sandbox standaard staat ingeschakeld en Windows XP ondersteunt.

Zwakke schakel
Het "broker process" dat onder een full token draait zou de zwakke schakel van de sandbox kunnen zijn. "Als je die kan misleiden, dan krijg je toch toegang. Denk maar aan de canonicalization bug in hun laatste /Launch blacklist. Een .exe met quotes mag wel. Als ze ook zulke fouten in de broker gemaakt hebben, dan zullen die snel ontdekt worden." Arkin laat echter weten dat de broker uit gloednieuwe code bestaat en grondig gecontroleerd is.

"Ik vraag mij wel af welke andere (niet-security) features Adobe Reader 10 zal hebben? Ze zouden bepaalde gebruikers in de situatie kunnen plaatsen dat ze ongewenste features erbij moeten nemen om de sandbox te hebben", vraagt Stevens zich af. Hij is ook benieuwd hoe de sandbox met 'shatter-aanvallen' omgaat. Bij deze aanvallen stuurt de shellcode Windows berichten naar het Windows Explorer proces om een VBS-bestand te maken en een .EXE te starten. "Controleert de sandbox Windows berichten? Niet voor zover ik kan zien."

Windows
De Sandbox zal in de volgende grote Windows-versie van Adobe Reader beschikbaar zijn. Linux en Mac-gebruikers moeten het zonder doen. De voornaamste reden hiervoor is dat de meeste Adobe-gebruikers Windows gebruiken en hier ook de meeste aanvallen plaatsvinden.

Adobe zal de nieuwe versie mondjesmaat onder bestaande thuisgebruikers met Adobe 8 en 9 verspreiden, mede om alle feedback te kunnen verwerken. Wie de sandbox meteen wil proberen zal daarom de versie vanaf Adobe.com moeten downloaden. Wanneer die echter verschijnt is nog niet bekend.

Update 21/7
In tegenstelling tot wat gisteren werd vermeld wordt de sandbox niet aan Acrobat toegevoegd, maar alleen aan Adobe Reader.