Per Hellqvist om IT-säkerhet och sånt

adobe-logoEftersom det ligger i tiden att göra återblickar över det gångna året ska väl inte jag vara sämre. Vi går ut hårt: Gissa vilken produkt som attackerats mest under året?

Gissade du Internet Explorer eller någon annan produkt från Microsoft så gissar du fel.

Gissar du Adobe Acrobat Reader så gissar du rätt.

Under året har det hittats en stor mängd “farliga” säkerhetshål i Adobes produkter. Jag antar att de har haft det hektiskt i kodarverkstaden. Det som är jobbigt i mitt tycke är att de är mycket långsamma ut med uppdateringar. Med tanke på hur vanligt förekommande PDF’er är så önskar man att Adobe skulle ta sina användares säkerhet på större allvar. Nu har man ju försökt göra bättring i och med att man infört en kvartalsvis uppdatering (japp, tre månader emellan…), men det är ju långt ifrån tillräckligt.

En annan anledning till att jag reagerar så starkt när det upptäcks säkerhetshål i Adobes produkter är att allmänheten anser dem vara “säkra”. Under masspostarnas glada dagar för 5-10 år sedan så varnade vi varandra för att skicka och ta emot dokument, kalkylark och okända Powerpoint-filer. Istället valde många att gå över till vad som då, och fortfarande idag, ansågs vara säkrast – PDF. Och det finns många därute. Kolla bara denna Google-sökning:

Pdf-sökning

Google-sökning som visar att det finns 110 miljoner PDFer publikt tillgängliga på Internet…

Elakingarna är ju inte dummare än att man då följer flocken och börjar leta sätt att infektera oss via dessa “säkra” filer. Samtidigt kladdar Adobe ned koden med fler och fler funktioner som vi inte behöver. Det gör att filerna blir större och klumpigare och det finns fler saker som kan innehålla säkerhetshål. Microsoft har ju tidigare kritiserats för att man öppnar filerna i “fullt läge”, dvs att alla makron körs och man är i editeringsläge. I princip samma sak sker med PDFer. Men ser man krasst på det så är det oerhört sällan man behöver göra annat än att läsa filen. För Microsofts filer finns olika “tittarprogram” som bara visar upp själva dokumentet utan att makron körs. Detsamma finns för Adobe PDFer . Men, de är också program och alla program kan ha sårbarheter. Hur man än vänder sig har man rumpan bak.

Under året i år har problemen med elaka PDFer verkligen eskalerat. Elaka PDFer används till allt från drive-by-downloads, där du får en preparerad PDF tillskickad dig när du besöker en hackad webbplats, till riktade attacker, där elakingarna skickar preparerade PDFer till chefer på stora företag eller andra intressanta personer. När dessa PDFer öppnas infekteras datorn med trojaner. Vanligast idag är som vanligt de trojaner som stjäl information (kreditkortsnummer, inloggningsuppgifter, etc) och öppnar bakdörrar. De kan också användas till att ladda ned ytterligare elak kod på den infekterade datorn. Allt för att man lurats att öppna en fil i ett format som man tror är säker.

Låt mig återigen upprepa en viktig sak: ALLA nya filer i datorn kan medföra problem.

Nu varnas det återigen för en allvarlig sårbarhet i Adobes produkter. Idag annonseras det att man nu upptäckt en ny, okänd, attack i PDF-läsaren. Den är mycket allvarlig då det som vanligt räcker med att öppna PDFen för att infekteras med elak kod . Därefter laddas ytterligare ett program ned. Det programmet letar efter vissa filer, krypterar dem och skickar upp filerna till en publik server. Det innebär att alla i hela världen kan ta del av din hemliga information (om man lyckas knäcka krypteringen dvs). Inget man vill ha in i datorn med andra ord.

Attacken verkar vara en så kallat riktad attack, där elakingarna valt ut intressanta mål och skickar specialskrivna PDFer till dessa. Hittills idag har vi hittat 21 unika PDFer med attacken i. Elakingarna har minsann inte julledigt…

Om Adobe inte släpper en extra uppdatering mot detta gapande säkerhetshål kommer det ingen lagning före den 12 januari(!). För att skydda sina användare mot en attack som redan är på gång. En månads väntetid är en evighet i vissa fall.

Här skriver Shadowserver Foundation mer ingående om just detta problem.  De rekommenderar att man stänger av JavaScript i PDF-läsaren, och det är ett mycket bra tips. Det tillsammans med att uppdatera sina program, inte köra som admin, och hålla antivirusprogrammet uppdaterat hjälper i allmänhet till att hålla datorn säkrare. Jag visar här hur enkelt det är att stänga av JavaScript i PDF-läsaren samt hur enkelt du kan höja säkerheten genom att aktivera funktionen Enhanced Security. Öppna först Adobe Reader, välj Edit och därefter Preferences. Gå sedan ned till Security och klicka ur Enable JavaScript och klicka i Enable Enhanced Security enligt bilderna nedan (som vanligt är det de osäkra alternativen som är förvalda…). Det ska se ut så här när du är klar :

Adobe-Javascript

Adobe-enhanced security

(ledsen för de hemskt stora bilderna, men bloggen envisas med flödande text… ibland vill man inte ha det…)

Det är tyvärr inte bara i PDFer som det upptäcks säkerhetshål. Även Flash har sin beskärda del. Här är det ännu värre eftersom man har mycket liten chans att stoppa animationen innan den körs. Det finns insticksprogram till t ex Firefox som gör att man kan välja om man vill köra den eller inte, men man vet fortfarande inte om den är elak innan. En del antivirusprogram letar efter elak kod inuti Flash-animationer. Det senaste motdraget från elakingarna är att lägga en (elak) Flash-aimation inuti en annan (snäll) Flash. Det visar sig att antivirusprogrammen bara letar i det första lagret… Men det är snart ändrat. Sen ligger bollen på den andra planhalvan igen.

Här är Adobes säkerhetsblogg: Adobe Product Security Incident Response Team (PSIRT)

Här har jag tidigare skrivit om attacker och problem med Adobes produkter.

Ett av mina nyårsönskningar är att Adobe ska ta din säkerhet på större allvar.

Taggar: Adobe, Intrång, Jobbigt, Korkat, Läsvärt, Säkerhetshål, Trojaner

Kommentarer

3 kommentarer to “Ny allvarlig sårbarhet i PDF. Attack redan igång”

  1. Leif Nixon on December 16th, 2009 06:58

    Det är nog läge att påpeka att det faktiskt finns andra PDF-läsare, som till exempel Sumatra PDF.

    Monokulturer är dåliga.

  2. Adobe-sårbarhet och nomineringsdags! | Säkerhet & Sånt on December 17th, 2009 14:11

    […] Ny allvarlig sårbarhet i PDF. Attack redan igång […]

  3. PDF-problemen förklarade | Säkerhet & Sånt on November 16th, 2010 15:14

    […] Läs även mitt tidigare inlägg där jag även visar på hur du kan stänga av JavaScript i PDFer och även ö…. […]

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.