Es ist mittlerweile bekannt, dass sich Virenscanner austricksen lassen. Wie leicht das geht, überrascht manchmal dann doch. Offenbar genügt eine simple Base64-Codierung, um altbekannte PDF-Exploits an den Virenscannern vorbei zu schleusen.

Bei der Analyse einer verseuchten Datei hat der Sicherheitsforscher Brandon Dixon eine interessante Entdeckung gemacht. Sie enthielt eine in eine XDP-Datei eingekapselte, mit einem Exploit präparierte PDF-Datei die deshalb nur von einer einzigen AV-Engine erkannt wurde. Die Erkennungsrate sollte normalerweise deutlich höher sein, wenn eine bekannte Schwachstellen im Reader ausgenutzt wird.

Bei XDP handelt es sich um ein XML-basiertes Dateiformat, das eine PDF-Datei als base64-kodierten Datenstrom enthält, die vom Reader wie gewohnt angezeigt wird. Nachdem Dixon ein wenig mit dem Format experimentierte konnte er eine XDP-Datei erstellen, die einen Exploit für eine zwei Jahren alte und längst gepatchte Reader-Lücke enthielt und bei Virustotal von keiner der 42 AV-Engines erkannt wurde. Freilich könnte man mit diesem Demo-Exploit nur Systeme infizieren, auf denen eine entsprechend alte Version des Readers installiert ist.

In seinem Blog schreibt Nixon: "Der Exploit ist alt. Der JavaScript-Code ist nicht enkodiert. Das sollte gefixt werden". Man sollte um XDP-Dateien bis dahin besser einen Bogen machen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE