Steeds meer programma's omarmen het gebruik van een sandbox, maar doordat we al onze data in de cloud stoppen, hoeven cybercriminelen zich over deze beveiligingsmaatregel geen zorgen meer te maken. Security.nl sprak met Guillaume Lovet, senior manager van het Threat Response team van het FortiGuard Lab. Lovet en zijn team onderzochten de sandbox-beveiliging van Adobe Reader.

Sinds Adobe eind 2010 een sandbox aan Adobe Reader en Acrobat toevoegde, is er nog geen enkele malware geweest die dit heeft kunnen omzeilen. Het bedrijf besloot de beveiligingsmaatregel toe te voegen omdat PDF-bestanden bij zowel gerichte aanvallen als aanvallen tegen consumenten werden ingezet. Door de sandbox moet een aanvaller twee kwetsbaarheden gebruiken, namelijk één om uit de sandbox te breken en vervolgens één in Adobe Reader zelf om willekeurige code op de computer uit te voeren.

De afgelopen anderhalf jaar heeft Adobe tientallen lekken in de PDF-lezer gedicht, maar dit leidde niet tot exploits die cybercriminelen misbruiken. Aanvallers kunnen via die kwetsbaarheden wel controle over de processen binnen de sandbox krijgen, maar niet de processen daarbuiten. "Het sandbox proces draait namelijk met verminderde rechten, daardoor kun je niet echt veel doen tenzij je eerst de sandbox omzeilt", aldus Lovet.

Het team van de beveiligingsonderzoeker onthulde onlangs tijdens de Black Hat conferentie een kwetsbaarheid waardoor een aanvaller wel uit de Adobe sandbox kon breken. Het lek was al voor de presentatie gepatcht, maar het geeft volgens Lovet aan dat de beveiliging niet onkwetsbaar is.

Processen
In plaats van één proces, wat de PDF-lezer is, zijn er twee processen. Eén is de PDF-lezer, die verantwoordelijk voor het renderen en weergeven van PDF-bestanden is. Dit proces draait met verminderde rechten en draait binnen de sandbox. Het tweede proces is de broker. Die fungeert als een proxy tussen het sandbox proces en het besturingssysteem. Als het sandbox proces een API van het besturingssysteem wil aanroepen, dan wordt die API naar een "native API en DLL" omgezet.

Tijdens het onderzoek werden alle broker API's in kaart gebracht. De informatie is volgens Lovet vooral interessant voor onderzoekers, omdat steeds meer softwareontwikkelaars het sandbox-model omarmen.

"De sandbox in Chrome en Adobe Reader werkt uitstekend. Dat was ook de reden waarom we dit onderzoek begonnen, omdat niemand iets had gevonden." Wat betreft de publicatie van het onderzoek is het juist bedoeld om de sandboxes die overal in gebruik zijn veiliger te maken. "We proberen niet het werk van cybercriminelen te bevorderen", merkt Lovet op.

"Als alleen cybercriminelen toegang tot informatie hebben, schaadt dat de veiligheid van iedereen. We hopen dat onderzoekers aan de hand van ons werk eerder beveiligingslekken vinden dan de bad guys." Daarnaast moeten gebruikers beseffen dat de sandbox geen wondermiddel is. "Maar tot nu toe hebben ze puik werk geleverd", gaat de onderzoeker verder.

Cloud
Sommige gebruikers kiezen ervoor om alles in een virtual machine te draaien. Lovet durft echter niet te zeggen of dat een veiligere optie is dan het sandboxen van applicaties, zoals de browser op PDF-lezer. "Hoe meer sandboxes worden gebruikt, des te minder interessant het wordt voor aanvallers om ze te omzeilen. Met name voor browsers. De reden daarvoor is dat de meeste gegevens zich in de cloud bevinden en niet meer op de desktop." Lovet wijst naar eerder onderzoek van Vincenzo lozzo, die voor het cloudprobleem waarschuwde.

De gegevens in de cloud zijn vanuit de sandbox namelijk gewoon te benaderen. Een aanvaller kan vanuit een gecompromitteerde browser, ook al draait die in een sandbox, toch documenten uit de cloud stelen. Het is zodoende niet meer nodig om het gehele systeem te compromitteren, een aanval op de browser volstaat.

"Zolang je de browser binnen de sandbox hackt heb je toegang tot de gebruiker zijn cookies, wachtwoorden en alle gegevens in de cloud." De cloud, waarbij alle gegevens extern worden opgeslagen, is zodoende de achilleshiel van de (browser) sandbox, die juist ontwikkeld is om lokale gegevens te beschermen. Hetzelfde geldt voor virtual machines. Lovet stelt Adobe-gebruikers gerust, aangezien het niet mogelijk is om vanuit de PDF-lezer de cloud te benaderen.