Microsoft tool beschermt tegen Adobe Reader-lek
De honderden miljoenen gebruikers van Adobe Reader die hun systeem tegen drive-by downloads willen beschermen, kunnen Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) gebruiken. Dat laten beide leveranciers weten. Vorige week werd bekend dat hackers weer een zero-day beveiligingslek in de PDF-lezer misbruikten voor het infecteren van systemen en stelen van gegevens.
In tegenstelling tot eerdere berichten omzeilt de exploitcode niet de Address Space Layout Randomization (ASLR) die Windows als beveiliging tegen exploits toepast. ASLR had de exploit kunnen voorkomen, maar de beveiligingsmaatregel was niet door Adobe toegepast, aldus Microsoft.
Oplossing
In afwachting van een patch, waar nog altijd geen datum voor is, heeft Microsoft een oplossing in de vorm van EMET. Die verplicht de applicatie namelijk om wel ASLR te gebruiken. Adobe heeft de gevolgen van EMET nog niet voldoende kunnen testen en waarschuwt bedrijven om de maatregel eerst zelf te testen voordat die massaal wordt ingezet. Microsoft laat in deze blogposting zien hoe gebruikers EMET moeten configureren.
Klopt. Elke executable (EXE, DLL, ...) heeft een vlag (cfr PE fileformaat) dat aangeeft
of ASLR mag toegepast worden of niet. De loader die .EXE en .DLL files in het geheugen laadt ter uitvoering,
kijkt naar deze vlag en beslist dan op welk adres de executable in het geheugen geladen wordt.
Als de vlag aanstaat, dan wordt het adres pseudo-willekeurig gekozen (ASLR). Als de vlag niet aanstaat,
dan wordt er een vast, voorspelbaar adres gebruikt.
Adobe Reader 9 heeft deze vlag aanstaan voor zijn EXE en de meeste van zijn DLLs.
In deze zero-day gebruikt de exploitcode code uit een DLL waar de ASLR vlag af staat.
Overigens is het niet moeilijk (zeker in het geval van Adobe Reader) om shellcode te schrijven die dynamisch
adressen opzoekt en zo ASLR omzeilt. Zulke shellcode is veel groter dan statische shellcode, maar bij de meeste
Adobe vulnerabilites is dit geen probleem omdat je in de praktijk niet beperkt wordt in de grote van je shellcode.
ASLR is vooral nuttig bij vulnerabilities van netwerk services. Bij netwerk service vulnerabilities is het vaak zo dat
de grote van de shellcode beperkt wordt door het netwerk protocol, en heb je gewoon geen plaats om dynamische shellcode te gebruiken.
In Process Explorer stond deze .dll ook niet na het laden van Adobe Reader.
Misschien is downgraden naar de 8 versie van Adobe Reader dus ook een optie (maar misschien ook niet).
Uit de eigenschappen van icucnv36.dll haal ik "IBM ICU Common DLL" en http://ibm.com/software/globalization/icu/. Die webpage verwijst verder naar http://www.icu-project.org/.
Als ik op die laatste site naar de sources kijk van deze DLL dan zie ik veel mogelijke buffer overflows, van het type char buf[256], verderop gevolgd door strcat() en strcpy() calls. N.b. of er bij het gebruik van dit soort code daadwerkelijk sprake is van BOF's hangt ervan af of er in de betreffende code voor de calls naar strcpy en strcat checks worden gedaan en/of je om andere reden kunt uitsluiten dat "user-provided-strings with unknown length" worden verwerkt, maar over het algemeen betekenen dit soort constructies niet veel goeds.
Of je Adobe de schuld kunt geven van deze kwetsbaarheid is dus discutabel. Verder ben ik benieuwd welke ander softwarefabrikanten van deze DLL's gebruik maken...
Nee, de kwetsbaarheid is in cooltype.dll van Adobe.
http://osvdb.org/show/osvdb/67849
icucnv36.dll is de DLL waarvan de ASLR vlag afstaat.
Sumatra PDF ondersteunt ook ASLR en DEP (ter info: Foxt Reader doet dit niet).
Het is echter niet geconfigureerd om te draaien met een Low Integrity Level.
Maar je kan dit zelf gemakkelijk afdwingen met het de icacls utility.
Voor meer uitleg: http://blog.didierstevens.com/2010/09/07/integrity-levels-and-dll-injection/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.