0-Day-Exploit für Adobe Reader X unterwegs?
Laut einer Ankündigung des russischen Sicherheitsunternehmens Group-IB gibt es einen funktionsfähigen Exploit für den Adobe Reader X, der sämtliche Schutzfunktionen einschließlich der Sandbox aushebelt. Das wäre das erste Mal, dass Schadcode der Ausbruch aus der Sandbox gelingt. Allerdings gibt es da ein paar Ungereimtheiten...
Exploit im Blackhole Exploit-Kit oder nicht?
Laut Group-IB soll ich ein Exploit für die Schwachstellen in einer angepassten Version des Blackhole Exploit-Kit enthalten sein soll. Und das ist auch schon die erste Ungereimtheit: Laut Brian Krebs weiß der Blackhole-Entwickler, dass der Exploit in geschlossenen Kreisen verkauft wird. Bisher ist er aber nicht in Blackhole enthalten (was der Entwickler aber bald ändern möchte).
Pssst, Geheim!!!!!
Details hat Group-IB bisher nicht verraten, auch nicht Adobe, so dass eine Bestätigung durch Adobe oder Dritte noch aussteht. Adobe hat von sich aus Kontakt mit Group-IB aufgenommen, um der Behauptung auf den Grund zu gehen.
Details werden nicht verraten
Dass nicht mal angegeben wird, wo sich die Schwachstelle befindet, ist ungewöhnlich. Laut der Ankündigung von Group-IB unterliegt der Exploit einigen Einschränkungen. So muss der Benutzer seinen Browser schließen und neu starten, damit der Exploit funktioniert. Auch ist eine nicht genannte Interaktion zwischen Benutzer und präpariertem PDF-Dokument nötig. Als Beweis für die Richtigkeit der Behauptungen hat Group-IB ein Video veröffentlicht, in dem der Exploit im Browser-Plugin und Adobe Reader Version 11.0.0 demonstriert wird.
Ein Video? Zwei Videos!
Leider ist das Video von Group-IB nur ein Stummfilm, so dass man raten muss, was wieso gemacht wird. Es gibt auch eine kommentierte Version des Videos, dass laut einem Kommentar in Brian Krebs Blog auf den Entdecker des Exploits zurück geht, der anscheinend nichts mit Group-IB zu tun hat. Laut dem Kommentar war JavaScript während des Exploits ausgeschaltet, hat also weder mit der Schwachstelle noch mit ihrer Ausnutzung etwas zu tun. Laut Beschreibungstext des Videos handelt es sich bei der Schwachstelle um eine Use-after-Free-Schwachstelle im Sandbox-Prozess, also den Zugriff auf einen zuvor freigegebenen Pointer.
Woher kommt der Exploit?
Laut dem Kommentar im Brian Krebs Blog ist "Kris" der Entdecker der
Schwachstelle, die er schon vor einiger Zeit ("a while back")
gefunden hat. Group-IB hat nicht verraten, woher der Exploit stammt. Sie
könnte aus einer Installation des angepassten Blackhole Exploit Kits
stammen, in dem er laut Group-IB enthalten sein soll. Generell ist es kein
Problem, Exploits aus Exploit-Kits zu besorgen, sofern man eine damit
infizierte Website findet. Ganz im Gegenteil, die Kits sind sogar ganz
wild darauf, einen den Exploit anzubieten. 
Wie kommt der Exploit in Blackhole?
Das wirft aber die nächste Frage auf: Was hat es mit diesem angepassten Blackhole-Kit auf sich? Der Entwickler des Exploit-Kits hat diesen Exploit ja noch nicht integriert. Aber das lässt sich zum Beispiel mit einer Anpassung von Blackhole an den Exploit durch die Exploit-Entwickler erklären.
Jede Menge Fragen, keine Antworten
Solange nicht entweder Adobe oder unabhängige Dritte die Funktionsfähigkeit des Exploits oder das Vorhandensein der ausgenutzten Schwachstelle bestätigen, gibt es nur zwei Videos als Beweis. Und Videos beweisen doch eigentlich gar nichts außer, dass da jemand etwas gefilmt hat. Weder weiß man, wer dieser "jemand" ist, noch weiß man, ob das "etwas" Realität oder Fiktion ist.
Aber gehen wir mal vom Schlimmsten aus: Der Exploit ist echt, es gibt eine Möglichkeit, aus der Sandbox des Adobe Reader X auszubrechen. Dies wäre dann der erste dazu fähige Exploit. Dass der Ausbruch aus einer Sandbox prinzipiell möglich ist, ist schon seit der Erfindung des Sandbox-Konzepts bekannt, es wurde auch immer wieder auf Sicherheitskonferenzen an Implementierungen demonstriert.
Im windows.developer Magazin 11.2012 ist ein Artikel von mir über die Sicherheit der Sandbox erschienen. Auch der Adobe Reader X wurde erwähnt, auf den es bisher keinen erfolgreichen Angriff gab. Alle für den Adobe Reader veröffentlichten Exploits scheiterten an den Schutzfunktionen von Adobe Reader X und funktionierten nur mit den Vorgängerversionen. Dementsprechend hielt es Adobe bisher auch nie für nötig, den Adobe Reader X außerhalb des planmäßigen Patch-Rhythmus zu patchen, lediglich für die Vorgängerversionen gab es Patches außer der Reihe. Diese angriffslose Zeit könnte nun vorüber sein.
Womit sich mal wieder die Frage aufdrängt, wozu man den Adobe Reader überhaupt braucht. Aus einem simplen Programm zur Anzeige von PDF-Dateien ist im Laufe der Zeit ein Monstrum mit fast unübersehbaren Funktionsumfang geworden. Wozu muss ein PDF-Anzeigeprogramm JavaScript ausführen oder Flash-Inhalte und was weiß ich noch alles abspielen können? Adobe sollte den Grundsatz "Back to the roots" aufgreifen und einen reinen PDF-Reader veröffentlichen. Der hätte eine viel kleinere Angriffsfläche als der jetzige Adobe Reader, der ja nicht ohne Grund lange Zeit eines der beliebtesten Angriffsziele der Cyberkriminellen war und erst in letzter Zeit von Java vom Spitzenplatz verdrängt wurde. Was sich nun, mit dem ersten erfolgreichen Ausbruch aus der Sandbox, auch wieder ändern könnte...
Trackbacks
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2013 - Die Zukunft hat schon begonnen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader
Vorschau anzeigen