“Het misbruiken van zwakheden in programma’s is een succesvolle manier om computers met malware te infecteren. Hoe meer een bepaalde applicatie gebruikt wordt, des te interessanter wordt het voor malware-schrijvers om de beveiligingslekken ervan uit te baten,” legt Ralf Benzmüller, hoofd van G Data’s SecurityLab uit. “Een ander gevaar dat vaak onderschat wordt, is de Autorun-functie. Er bestaat een heel arsenaal aan malware dat deze functie misbruikt. Een voorbeeld is Worm.Autorun.VHG. Deze veelvoorkomende malware gebruikt Autorun om zichzelf te verspreiden via USB-sticks of externe harde schijven. Wie de Autorun-functie niet echt nodig heeft, kan de functie het beste uitschakelen.”

PDF-documenten gelden normaalgesproken als onschadelijke bestanden, dus op bijna alle computers wordt wel een PDF-reader geïnstalleerd. Echter, de JavaScript-functie maakt van een PDF een potentieel gevaarlijk formaat: een Acrobat JavaScript, dat in een PDF verwerkt zit, wordt misbruikt en ingezet om aanvallen voor te bereiden. Ook kan de JavaScript zelf fouten bevatten, die door aanvallers worden benut om gevaarlijke code naar binnen te loodsen.

Indien mogelijk, is het beter om de JavaScript-functie van de PDF-reader uit te schakelen. Een andere belangrijke maatregel is het goed up-to-date houden van de reader met nieuwe updates, om zo lekken te dichten en beschermd te zijn tegen nieuwe malware-aanvallen.

Methodologie
Het Malware Information Initiative (MII) richt zich op de bescherming van de online community. Elke klant van G Data’s security-oplossingen kan aan het initiatief meewerken. Dit kan door de functie van het MII-feedbacksysteem in het G Data-programma te activeren. Data van gepareerde malware worden dan automatisch en volledig anoniem aan G Data’s SecurityLab gestuurd. Daar wordt de informatie verzameld en geanalyseerd.

Meer informatie is te vinden op www.gdata.nl.

CVE-2009-4324, de belangrijke kwetsbaarheid in Adobe Reader en Adobe Acrobat die op 15 december 2009 werd gemeld door Adobe, wordt nu toch hersteld: de update die gepland staat voor 12 januari zal dit beveiligingslek dichten. Hiermee zal één van de meest prangende situaties op het gebied van computerveiligheid eindelijk worden opgelost.  Maar waaruit bestaat het gevaar nu eigenlijk precies en waarom is PDF de laatste tijd zo’n zondebok geworden?

PDF-malware: een opwaartse trend
Verschillende gunstige eigenschappen maken Portable Document Format (PDF) één van de meest gebruikte bestanden van nu. Ten eerste kan het op alle computers worden weergegeven met één van de vele gratis PDF Readers. Ten tweede is het veranderen van een PDF-bestand erg ingewikkeld. Hierdoor kan niet gemakkelijk ongeautoriseerd worden gesleuteld aan een tekst en kan hij niet zomaar worden gekopieerd. Bovendien is het formaat compact, wat het aantrekkelijk maakt om bijvoorbeeld als bijlage bij een e-mail mee te sturen.

In de loop der jaren heeft dit bestandformaat er meerdere mogelijkheden bij gekregen en daarmee is ook de complexiteit van de software toegenomen. Dat maakt het vinden en exploiteren van beveiligingsproblemen gemakkelijker. Er bestaan eenvoudige, geautomatiseerde hulpmiddelen, zoals Eleanor, Liberty Exploit System of Elfiesta, die PDF-bestanden kunnen besmetten. Deze programma’s vereisen nauwelijks technische kennis van cybercriminelen.

Analyse van het aantal ontdekte kwetsbaarheden in PDF-software toont dan ook aan dat er in de afgelopen jaren sprake is geweest van een sterke groei. In 2009 heeft de organisatie MITRE (http://cve.mitre.org) 74 PDF-beveiligingslekken (CVE, Common Vulnerabilities and Exposures) in haar lijst met beveiligingskwestbaarheden opgenomen. Dat is tweemaal zoveel als in 2008.

Fasen van een PDF-aanval
De aanvallen door exploitatie van kwetsbaarheden van PDF’s zijn gevarieerd. Eén van de meest voorkomende tactieken verloopt als volgt:

1. Een ingebed JavaScript in een besmette PDF wordt uitgevoerd om het document te openen. Dit schadelijke bestand is versleuteld en dus onzichtbaar tijdens een scan van de PDF.
2. Het Javascript gebruikt de Heap Spray-methode om het geheugen te overspoelen met NOP-commando’s (No Operation-commando’s) en door het meervoudig laten laden van de shellcode.
3. De JavaScript-kwetsbaarheid in de PDF kan dan worden benut om de shellcode uit te voeren.
4. De uitgevoerde shellcode downloadt vervolgens de malware, zoals bijvoorbeeld botnetcomponenten.

Hoe kun je je beschermen?
Een kwalitatief goede beveiligingssuite op de computer installeren is de eerste belangrijke stap. Een verdere stap is het deactiveren van de Javascript-functie in Adobe-programma’s. In de Adobe Reader kan dit via het menu Bewerken. Selecteer hierin Voorkeuren. Klik links in het venster op JavaScript en haal het vinkje weg bij Acrobat JavaScript inschakelen. Een andere oplossing is het activeren van de DEP-functie (Data Execution Prevention) in Windows. Deze functie houdt de uitvoering van malware-code in het geheugen van de computer tegen. Helaas kan veel  legitieme software met deze veilige instelling ook niet worden uitgevoerd.

Over G Data
G Data Software AG is een security-specialist van Duitse origine. G Data ontwikkelde haar eerste antivirus-programma al in 1987 en was daarmee een pionier in Europa. Kwaliteit is een prioriteit voor de onderneming. Als resultaat hiervan heeft G Data in de afgelopen vijf jaar meer testoverwinningen in Europa behaald dan welke andere aanbieder ook. Tot de overwinningen behoort de titel ‘Beste Pakket’, die zowel de Nederlandse Consumentenbond als het Belgische Test Aankoop al drie jaar op rij aan G Data InternetSecurity hebben toegekend.

G Data biedt oplossingen voor consumenten en voor kleine, middelgrote en grote ondernemingen. Het bedrijf is opgericht in 1985 en heeft wereldwijd ongeveer 250 medewerkers. Het hoofdkantoor is gevestigd in Bochum (Duitsland). Meer informatie is te vinden op www.gdata.nl.

Adobe heeft besloten nu een regelmatige updatecyclus te starten. De eerste daarvan zal morgen zijn. Wie daar geen zin in heeft kan de software beter verwijderen en overstappen op een andere pdf-lezer.