Door alle aandacht voor aanvallen op Java-gebruikers vergeten zowel bedrijven als consumenten dat er nog steeds veel computers via PDF-documenten worden gehackt. Daarvoor waarschuwt de Belgische beveiligingsonderzoeker Didier Stevens in een interview met Security.nl. Stevens deed uitgebreid onderzoek naar het bestandsformaat.

Ook ontwikkelde hij verschillende tools voor het analyseren van PDF-documenten. Eén van deze tools, pdfid, werd zelfs aan de populaire online virusscanner VirusTotal toegevoegd.

Er zijn nog altijd geen succesvolle aanvallen op de Adobe Reader X sandbox geweest. Zijn PDF's door deze beveiliging weer een stukje
veiliger geworden?
Stevens: Er zijn wel al succesvolle aanvallen op de Adobe Reader X sandbox geweest, onlangs werd er op Black Hat Europe 2012 nog één gepresenteerd. Maar er is nog geen full disclosure geweest van een sandbox escape methode, en bij malware "in the wild" zien we ook nog geen sandbox escapes.

Gaan aanvallers zich nu op alternatieve PDF-lezers zonder sandbox richten, of zijn er nog voldoende slachtoffers met Adobe 9 dat ook zonder sandbox draait?
Stevens: Er zijn verschillende types aanvallers. Aanvallers die als doel hebben je pc te besmetten met een trojan, richten zich al een tijd op alternatieve browsers, zoals Foxit Reader. Zij gebruiken exploit-kits om je pc te besmetten, en deze kits bevatten exploits voor allerlei software, ook verschillende PDF readers. En dan zijn er de gerichte aanvallers. Deze achterhalen welke PDF-lezer het doelwit gebruikt, en ontwikkelen de nodige exploit.

Zou Adobe geen maatregel moeten nemen om Adobe Reader 9 gebruikers zo snel als mogelijk naar de Adobe Reader X te krijgen? Anders ontstaat er mogelijk net zo'n situatie als met IE6, of zie je dat anders?
Stevens: Dat zou inderdaad het beste zijn. Maar met Adobe Reader is er nog een uniek probleem dat je niet met IE6 ziet: er wordt nog steeds veel software gebruikt waarvan de installatie CDs/DVDs een oudere versie van Adobe Reader installeren zodat je handleidingen kan lezen. En sommige van deze installatie programma's zijn echt niet flexibel, ze vervangen recentere versies van Adobe Reader met een oudere versie.

Je hebt de laatste tijd verschillende PDF-tools ontwikkeld. Voor wie zijn die bedoeld en wat kunnen we ermee?
Stevens: Ik had verschillende doelgroepen voor ogen bij het ontwikkelen. pdf-parser is er voor malware analysten en iedereen die niet bang is om diep te graven, hackers dus. Je moet kennis hebben van de structuur van een PDF document om pdf-parser te gebruiken. pdfid is een tool voor de IT professional. Het geeft je statistische gegevens die je in staat moeten stellen om snel te bepalen of een pdf naar alle waarschijnlijkheid verdacht is of niet. pdfid draait ook op VirusTotal, dus iedereen kan het gebruiken, maar je moet wel wat achtergrond informatie hebben om de data te interpreteren.

Voorheen gebruikten de meeste PDF-exploit javascript, is dat nog steeds het geval?
Stevens: Bij malware "in the wild" is dat nog steeds het geval. En bij PDF documenten gegenereerd door exploit kits is die uitsluitend het geval, omdat deze eerst via JavaScript bepalen welke PDF reader je gebruikt en welke versie, en dan de geschikte exploit starten.

Hoe zie jij de ontwikkeling van de PDF-aanvallen de komende zes maanden?
Ik ben vooral benieuwd naar het nieuwe type van PDF readers. Er worden nu PDF readers in geïnterpreteerde talen met garbage collectors ontwikkeld, zoals JavaScript (Mozilla doet dit als ik mij niet vergis). Per definitie geeft een simpele buffer overflow je hier niet de kans om snel shellcode uit te voeren. Ook ben ik benieuwd naar de PDF reader app die Microsoft ontwikkeld met WinRT voor Windows 8. Want deze app gaat in de WinRT sandbox draaien.

Welke PDF-lezer gebruik jezelf? en hoe ga je met verdachte PDF-bestanden om? Draai je bijvoorbeeld ook een PDF browser-plugin?
Stevens: Sumatra PDF (in Sandboxie), omdat deze open source is en dus gemakkelijk door mij aan te passen is. PDF-plugins gebruik ik niet. Adobe Reader ook niet. Niet omwille van de vele vulnerabilities, maar omdat Adobe Reader zich op meerdere manieren in Windows integreert, en daar hou ik niet van. Ik gebruik liever een éénvoudige executable die geen explorer shell, search plugin, ... nodig heeft.

De laatste tijd richten veel exploits zich op Java. Is dat een teken dat de beveiliging van Adobe vruchten begint af te werpen en het niet meer de kop van jut is?
Stevens: Ik denk dat dit vooral door de toename van het aanbod en gebruik van exploit-kits komt. Java is één van de doelwitten van exploit kits. Ze proberen gewoon via zoveel mogelijk manieren je pc te besmetten. Het Microsoft rapport over malware toont trouwens aan dat PDF-malware nog steeds aan het groeien is.

Wat zou je bedrijven aanraden die risico lopen om via PDF-bestanden gehackt te worden?
Stevens: Eerst en vooral moeten ze bepalen wat hun gebruikers met PDF-bestanden doen. Gebruikers die enkel PDF-bestanden moeten lezen en/of printen geef je best een PDF reader die je "dichttimmert": uitschakelen van JavaScript, schrijfrechten ontnemen, ...
Gevorderde gebruikers die bijvoorbeeld PDF-formulieren moeten verwerken, of PDF-documenten moeten annoteren, ondertekenen, enz... geef je best een PDF-reader en stop je die in een sandbox. Adobe Reader X is dan een gemakkelijke oplossing.

En als je een groot bedrijf bent, dan kun je beter ook bijzondere bescherming geven aan de pc/smartphone/tablet van sleutelfiguren zoals de CEO. Want gerichte aanvallers kunnen uit een sandbox breken. En vergeet niet dat de sandbox van Adobe Reader X ontwikkeld is om schrijfrechten te ontnemen. Leesrechten blijven ongemoeid.

Als een aanvaller bijvoorbeeld spreadsheets met het woord "Budget" wilt stelen van de pc van de CFO, dan heeft hij geen schrijfrechten nodig. Zo'n PDF kan op de ouderwetste manier ontwikkeld worden, aangezien het niet nodig is om de sandbox te verlaten om een spreadsheet te lezen en via HTTP te posten.