Orme-angreb spreder sig via PDF

En ny type angreb udnytter velkendt PDF-fejl til at sprede malware overalt på pc'en.

BERTRAND BECHARD Foto: Colourbox Foto: Bertrand Bechard

Computerworld News Service: Sikkerhedsekspert Jeremy Conway fortæller, at han har opdaget en ny måde at sprede ondsindet kode via PDF-dokumenter.

Angrebet udnytter en fejl i filformatet til PDF, der kan benyttes til at tilføje ondsindet data i legitime PDF-filer, som derefter kan bruges til at angribe det offer, der åbner dokumentet.

Jeremy Conway, der er produktchef ved NitroSecurity, har allerede udviklet en teknik, der kan anvendes til at tilføje kommandoer i PDF'er. Men hans angreb har tidligere kun fungeret, hvis der i forvejen fandtes et ondsindet program i det system, der tilføjer koden.

Det ændrede sig i sidste uge, da analytikeren Didier Stevens demonstrerede, hvordan man kan ændre et PDF-dokument, så den kan køre en executable fil på offerets computer.

Hackere har vidst i et stykke tid, at en PDF kan manipuleres på den måde, men Didier Stevens' angreb viser, hvordan en reader - Foxit Reader - kan køre executable-filer uden overhovedet at informere brugeren. Foxit har nu lappet problemet, men den underliggende fejl i PDF-standarden kan ikke rettes uden at ændre i selve standarden.

"Det er et eksempel på en kraftfuld funktionalitet, som en del brugere er afhængige af, men som indeholder potentielle risici, hvis den bliver anvendt forkert," fortæller en talskvinde for Adobe Systems i en e-mail.

Brugere, der gerne vil slukke for den Adobe Reader eller Acrobat-funktion, der muliggør angrebet, kan klikke "Edit > Preferences > Categories > Trust Manager > PDF File Attachments" og fjerne fluebenet i den boks, der hedder "Allow opening of non-PDF file attachments with external applications."

I version 3.2.1 af Foxit Reader, der udkom torsdag, fremkommer softwaren nu med en dialogboks, der spørger, om brugeren vil køre koden. Adobe Reader gør det samme.

Simpelt trick

..

Læs også