Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

31. März 2010

Kritische Design-Sicherheitslücken in PDF Viewern

Beschreibung

Wie Didier Stevens in seinem Blogeintrag berichtet, gibt es eine sicherheitsrelevante Design-Lücke im PDF Format, welche bei aktuellen Versionen von Adobe Reader und Acrobat bis inkl. 9.3 und anderen alternativen PDF Viewern, wie z.B. Foxit, ausnützbar ist. Ein Angreifer kann hierbei aus dem PDF Viewer eines Benutzers beliebige Kommandos starten und somit auch Schadcode auf den Rechner des Benutzers kopieren und installieren. Es reicht dabei, dass der Benutzer ein entsprechend modifiziertes PDF Dokument ansieht. Üblicherweise reicht es sogar, wenn das PDF nur auf einer Website liegt.

Da PDF in Unternehmen sehr weit verbreitet ist, schätzt CERT.at diese Bedrohung als kritisch ein. Zusätzlich ist mittlerweile Beispielcode aufgetaucht. Somit kann die Lücke via Internet leicht ausgenutzt werden.

Auswirkungen

Die Lücke ist an sich eine Design Schwachstelle im PDF Format. Mit der Option "Launch Actions/Launch File" ist es laut PDF Spezifikation möglich, beliebige Programme aus dem PDF Viewer zu starten. Dieser Umstand läßt sich aber auch zum Nachladen und Installieren von Schadsoftware ausnützen. Im Adobe Reader ist zwar die Möglichkeit vorhanden, den Benutzer vor der Ausführung von Programmen mit einem Popup Fenster zu fragen, ob er dies will, doch dies läßt sich leicht umgehen.

Betroffene Systeme

Systeme, auf denen folgende PDF Viewer installiert sind:
  • Adobe Reader: für Windows alle Versionen bis zur aktuellen Version 9.3
  • Adobe Acrobat: für Windows alle Versionen bis zur Version 9.3
  • Foxit Reader: alle Versionen

Es sind vermutlich noch weitere PDF Viewer auf verschiedenen Betriebsystemen betroffen.

Nicht betroffen ist das Preview Programm auf Mac OS X.

Update (6.4.2010):
Mittlerweile steht eine neue Version 3.2.1.0401 von Foxit Reader zur Verfügung, die diese Sicherheitslücke behebt.

Abhilfe

Da es sich um eine Design Schwachstelle im PDF Format handelt, läßt sich die Option zum Starten externer Programme nur deaktivieren. Dies kann auf folgenden zwei Wegen erreicht werden:
  1. in den Einstellungen von Adobe Reader: Einstellungen/Berechtigungen -> "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" deaktivieren
  2. Unternehmensweit per Windows Registry:
    HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals\bAllowOpenFile
    auf "0" setzen. Sollte dieser Registry Key nicht existieren, kann er einfach angelegt werden (bitte beachten sie, den aktuellen Pfad gegebenenfalls an die Version des installierten Readers anzupassen).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Heise
http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-ohne-konkrete-Sicherheitsluecke-968031.html
Originalbericht von Didier Stevens
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/