Pdf combineert zeroday-lekken in Adobe Reader en Windows

[Captain Kirk]

Onderzoekers hebben eind maart een pdf-document ontdekt dat twee zeroday-lekken in Adobe Acrobat Reader en Windows combineerde waardoor systemen volledig konden worden overgenomen. Gisteren verscheen er een beveiligingsupdate van Adobe voor het lek in Acrobat Reader.

Vorige week dinsdag werd het beveiligingslek in Windows al door Microsoft gepatcht. Het pdf-document was door iemand naar een publieke repository voor malware geupload, waar onderzoekers van anti-virusbedrijf ESET het bestand vonden. Het document bleek misbruik van twee onbekende kwetsbaarheden te maken waardoor een aanvaller op afstand code met kernelrechten had kunnen uitvoeren. Alleen het openen van het pdf-document was voldoende geweest.

Acrobat beschikt over een sandbox die als een extra beveiligingslaag fungeert. Zelfs wanneer een aanvaller erin slaagt om code uit te voeren moet de aanvaller nog uit de sandbox breken om het onderliggende systeem over te nemen. Het ontsnappen uit de sandbox wordt meestal gedaan via een kwetsbaarheid in het besturingssysteem. Via het zeroday-lek in Windows konden de aanvallers hun rechten verhogen. De combinatie van beidde lekken maakte het zo mogelijk om een systeem volledig te compromitteren wanneer er een kwaadaardig pdf-document werd geopend. Het ontdekte pdf-document bevatte geen "payload". ESET vermoedt dan ook dat het document mogelijk vroegtijdig in de ontwikkeling is ontdekt.

In de aankondiging van de beveiligingsupdate liet Adobe weten dat het niet bekend is met exploits in "het wild" die van de kwetsbaarheid misbruik maken. Wel adviseerde het softwarebedrijf om de beveiligingsupdate snel te installeren, waarbij als voorbeeld binnen 72 uur werd gegeven. Adobe adviseert normaliter om Acrobat-updates binnen 30 dagen te installeren. Het advies om snel te updaten wordt alleen gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is.

 

 

bron: security.nl