Lecsaptak a vírusterjesztők a PDF-hibára

Kristóf Csaba
2010. április 20., 08:25
Nyomtatás
Bekövetkezett az amitől számos biztonsági szakértő tartott: az Zeus botnettel kapcsolatba hozható egyik kártékony program elkezdte kihasználni az elmúlt hetekben nagy port kavart, és az Adobe alkalmazásainak esetében továbbra is javítatlan PDF-sebezhetőséget.

Az elmúlt hetek legjelentősebb biztonsági nehézsége kétségtelenül a PDF-kezelő alkalmazásokkal hozható összefüggésbe. Ennek oka, hogy egy belga kutató nemrégen egy olyan sebezhetőségről számolt be, amely a PDF-formátumot érinti, és különösebb nehézségek nélkül segítheti elő kártékony kódok jogosulatlan futtatását. Mivel a rendellenesség a PDF-formátumra vezethető vissza, ezért nemcsak az Adobe alkalmazásai esetében merültek fel kockázatok, hanem például a Foxit szoftvereinek kapcsán is. A Foxit Reader fejlesztői azonban már kiadtak egy frissítést, így a probléma által jelentett veszélyeket jelentősen csökkentették. Az Adobe azonban még mindig dolgozik a rendellenesség felszámolásán, így az Acrobat valamint a Reader felhasználóinak különös óvatosságra van szükségük a PDF-állományok megtekintésekor.

A biztonsági rendellenesség kihasználásával a támadók a felhasználók megtévesztését követően tetszőleges kódokat futtathatnak le az érintett számítógépeken. Ehhez mindössze azt kell elérniük, hogy a felhasználó megnyisson egy speciálisan összeállított PDF-dokumentumot. A támadók a PDF-állományban elhelyezhetnek olyan bejegyzéseket, amelyek a PDF-olvasót kódok lefuttatására utasítják. Amennyiben az Adobe érintett szoftverei egy ilyen fájlt töltenek be, akkor normális esetben figyelmeztetik a felhasználót, hogy a PDF-állomány futtatható kódot is tartalmaz. A biztonsági hiba kihasználásával azonban pont ennek a figyelmeztető üzenetnek a szövege változtatható meg anélkül, hogy ehhez bármilyen szoftveres sérülékenységet ki kellene használni, vagy speciális kódot kellene beépíteni a dokumentumokba.

A múlt héten már több biztonsági szakember jelezte, hogy az Adobe-nak sürgősen tennie kellene valamit a hiba megszüntetése érdekében, ugyanis az interneten megjelent információk alapján a támadók könnyedén tudják a saját céljaikra fordatani a sebezhetőséget. Az aggodalmak beigazolódtak, ugyanis kiderült, hogy a világ egyik legveszélyesebb botnet hálózatának, a Zeus-nak az üzemeltetői már el is kezdték kiaknázni a PDF-rendellenességben rejlő lehetőségeket. Mindez egyben azt is jelenti, hogy az online alvilág megint egy lépéssel előrébb jár.

A Zeus PDF-állományokkal való ügyeskedésére elsőként a Websense hívta fel a figyelmet. A cég szerint a Zeus trójai egyik variánsa olyan kártékony, PDF-állományok révén terjed, amelyekkel képes kihasználni a PDF-formátummal kapcsolatos rendellenességet. Dan Hubbard, a cég műszaki igazgatója szerint a kártékony PDF-fájlok "Royal_Mail_Delivery_Notice.pdf" néven terjednek, de természetesen a fájlnév bármikor módosulhat. Amennyiben a felhasználó megnyit egy ilyen állományt, akkor egy dialógusablak jelenik meg, amelyben az Adobe szoftverei afelől érdeklődnek, hogy mentésre kerüljön-e a dokumentum. Ha a felhasználó ezt jóváhagyja, akkor tulajdonképpen tudtán kívül engedélyezi a trójai telepítését.

Hubbard is megerősítette, hogy önmagában az nem elegendő, hogy az Adobe alkalmazásai figyelmeztetnek a dokumentum megnyitásakor esetlegesen betöltődő kódokra. Az igazi problémát az jelenti, hogy a vállalati hálózatok esetében az átjárókon nem lehet hatékonyan blokkolni ezeket a PDF-állományokat, hiszen ha mind kiszűrésre kerülne, akkor az komolyabb fennakadásokat okozhatna. A szakember szerint további nehézséget jelent, hogy a felhasználók a PDF-állományokban sokkal jobban megbíznak, mint az egyéb formátumú (például Word) dokumentumokban, így azokat kellő óvatosság nélkül nyitják meg.

Korábbi cikkünkből megtudhatja, hogy miként csökkenthetők a PDF-rendellenesség kockázatai.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

6 hozzászólás

  1. ceka írta:
    2010-04-20 13:34:32

    Meddig vár az Adobe. A teljes csődre?

  2. ceka írta:
    2010-04-20 13:36:05

    Vagy nem értenek hozzá? Akkor meg "készíttessék el a KONKURENCIÁVAL !

  3. Vírusölő írta:
    2010-04-20 13:46:52

    Ez megint csak ilyesztegetés, eleve egyszerűen le lehet tiltani egy beállítással. Én még ezt sem tettem, mert 1, homokozóban fut, ezért a gyermekfolyamat is abban fog, tehát nem tud változást okozni a rendszerben 2, LUA + SRP használok, tehát alapból el sem fog indulni a vírus. Igen, vállalatok esetében jelent gondot. Ha meg valaki annyira eszetlen vadbarom hogy rendszergazdai fiókban a gépre ment bármit, az alapból meg is érdemel egy kis megleckéztetést :D

  4. Vírusölő írta:
    2010-04-20 13:50:59

    ...nekik meg kellene tanulniuk használni a Windows-t. Érdekes néhány egyszerű beállítással és ésszerű használattal szinte semmi esélyük a vírusoknak, még víruskereső szoftver sem kell (minek is, nem kell megvédenie magamtól, ha meg is kellene, ha állandóan meg akarnám fertőzni a rendszert, akkor meg nem tudna, mivel feketelistázós technika messze van a 100%-tól, csak idő kérdése mikor fertőződnék meg.). Az meg a másik hogy vannak már nagyon jó technikák/szoftverek is .....

  5. Hattyúház írta:
    2010-04-20 14:36:31

    Érdekes, volt a napokban egy ilyen próbálkozás, de amikor letöltöttem a .pdf fájlt az Asztalra, nem engedte megnyitni az Eset Smart Security. Jelezte a veszélyt. Azért nem árt, ha van a gépen megbízható, szigorúra beállított tűzfal és kemény védelem. De az Adobe elmehet a fenébe!

  6. T. írta:
    2010-04-21 14:26:37

    Egy szakmai portálon annyit csak elvárhatnék, hogy konkrétumokról is szó esik .. pl. ... Vulnerability identifier ? CVE number ?

ESET Online Vírusirtó
Céginfó hírek (x)