Schwer gebeutelt: immer und immer wieder Adobe

In den verbreitetesten Produkten der Firma Adobe — Acrobat/Reader — finden Interessierte immer wieder neue Sicherheitslücken, die sie dann erfolgreich ausnutzen.

So erhielten wir vor einigen Tagen eine interessante PDF-Datei (erkannt als Exploit.JS.Pdfka.bui), die die Ausnutzung der im Februar entdeckten Schwachstelle CVE-2010-0188 im Acrobat/Reader der Version 9.3 und niedriger enthielt.

In erster Linie springt das offensichtlich falsch dargestellte TIFF-Bild ins Auge, das sich innerhalb der Quell-PDF-Datei befindet.

Die Sicherheitslücke – ein Pufferüberlauf – kommt zum Tragen, wenn auf das Feld geklickt wird, das dieses Bild enthält. Die Attacke selbst wird mit Hilfe der Technik heap spraying durchgeführt, die aktiv in vielen Exploits für Produkte genutzt wird, die JavaScript-Code bearbeiten können. Die letzte große Attacke Aurora wurde beispielsweise unter Anwendung dieser Technik durchgeführt.

Bei erfolgreicher Ausnutzung der oben beschriebenen Sicherheitslücke wird die Rückadresse von der vorher bekannten Adresse 0xC0C0C0C0 neu überschrieben, unter der sich der von den Cyberkriminellen kontrollierte Code befindet.

Daraufhin wird auf diese Adresse umgeleitet, unter der der Shellcode eingerichtet ist. Er entschlüsselt zunächst seinen Body und daraufhin die ausführbare Datei, die sich ebenfalls innerhalb der Quell-PDF-Datei befindet.

Die entschlüsselte ausführbare Datei (wird erkannt als Backdoor.Win32.Agent.aqoj) schreibt sich in das Wurzelverzeichnis der Festplatte C: und wird gestartet. Sie ist unter anderem in der Lage, Informationen über den Computer an einen entfernten Server zu senden und auch andere schädliche Dateien auf den infizierten Computer zu laden.

Ein Update für die angreifbaren Produkte wurde umgehend von der Firma Adobe herausgebracht. Allerdings werden die Kriminellen diese Schwachstelle ausnutzen (wie im Übrigen auch andere, längst bekannte), solange nicht alle Anwender ausreichend geschützt sind. Daher empfiehlt sich zur Vermeidung ähnlicher und anderer Infizierungen, das neuste Update von Acrobat /Reader zu installieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.