S
stephopper
Hackers haken in op vers Adobe-gat
Gepubliceerd: Maandag 12 oktober 2009
Auteur: Jasper Bakker
Net nadat Adobe waarschuwt voor een gat in zijn pdf-software duiken de malwaremakers er al op. Adobe werkt nog aan een patch.
De softwarefabrikant verwacht dat lapmiddel morgen af te hebben. Dat meldde het bedrijf afgelopen donderdag in de waarschuwing voor het gat. Dat zit in de 9- en 8-reeks, maar ook in oudere versies van zowel de gratis pdf-reader als in pdf-maker Acrobat.
Kritiek lek
Dit betreft alle uitvoeringen van die Adobe-software; dus voor Windows en voor Mac OS X en Unix. De malwaremakers hebben het vooral voorzien op Windows. Adobe denkt morgen een patch uit te kunnen brengen. Die is dan voor de recente versies 9.1.3 en 8.1.3.
Het gat krijgt van Adobe zelf de hoogste 'waardering': kritiek. Dat houdt in dat misbruik van dit lek kwaadwillenden in staat stelt eigen code uit te voeren op de doelcomputer. Dat maakt het weer mogelijk pc's over te nemen om ze vervolgens in te zetten als onderdeel van een botnetwerk.
Beschermingsmaatregelen
Adobe geeft in het security bulletin al aan dat er "meldingen zijn dat dit lek al in de praktijk ('in the wild') in beperkte mate wordt misbruikt voor gerichte aanvallen". Pc-gebruikers met Windows Vista, waarop security-maatregel DEP is geactiveerd, zijn niet kwetsbaar voor de nu rondgaande malware.
Een andere beschermingsmaatregel is het uitschakelen van JavaScript. Adobe zelf geeft al aan dat dit alleen helpt tegen een specifieke malwarevariant die nu bekend is. Een variant die zijn malafide werk doet z?nder gebruik van JavaScript is mogelijk, bekent de softwaremaker. Dat is in februari ook al gebleken voor een ander pdf-gat.
Vierde 0-day
Het gat in Adobe's software wordt nu al actief misbruikt. Het is het vierde exemplaar dit jaar waarvoor de fabrikant nog geen patch heeft. Dergelijke lekken worden 0-day (zero-day) gaten genoemd. Het lek van febrauri is in maart pas gedicht, waarna het beveiligingsteam van Adobe weer mocht hollen om 0-day gaten te patchen in mei en juli.
Ook die gaten waren al veel langer bekend; tot wel 7 maanden. Daarna heeft een gat in de ontwikkelsoftware van Microsoft weer geleid tot een patch van Adobe. Door al deze noodpatches heeft de softwareproducent ook zijn nieuwe regelmatige patch-cyclus al na de eerste keer moeten uitstellen.
Het gaat om de trojan Troj_Pidief.Uo. Dit virus komt binnen als een pdf-bestand dat de op Javascript gebaseerde malware Js_Agent.Dt bevat. Die laat vervolgens Bkdr_Protux.Bd achter, wat het eigenlijke achterpoortje is.
Grtz/
Gepubliceerd: Maandag 12 oktober 2009
Auteur: Jasper Bakker
Net nadat Adobe waarschuwt voor een gat in zijn pdf-software duiken de malwaremakers er al op. Adobe werkt nog aan een patch.
De softwarefabrikant verwacht dat lapmiddel morgen af te hebben. Dat meldde het bedrijf afgelopen donderdag in de waarschuwing voor het gat. Dat zit in de 9- en 8-reeks, maar ook in oudere versies van zowel de gratis pdf-reader als in pdf-maker Acrobat.
Kritiek lek
Dit betreft alle uitvoeringen van die Adobe-software; dus voor Windows en voor Mac OS X en Unix. De malwaremakers hebben het vooral voorzien op Windows. Adobe denkt morgen een patch uit te kunnen brengen. Die is dan voor de recente versies 9.1.3 en 8.1.3.
Het gat krijgt van Adobe zelf de hoogste 'waardering': kritiek. Dat houdt in dat misbruik van dit lek kwaadwillenden in staat stelt eigen code uit te voeren op de doelcomputer. Dat maakt het weer mogelijk pc's over te nemen om ze vervolgens in te zetten als onderdeel van een botnetwerk.
Beschermingsmaatregelen
Adobe geeft in het security bulletin al aan dat er "meldingen zijn dat dit lek al in de praktijk ('in the wild') in beperkte mate wordt misbruikt voor gerichte aanvallen". Pc-gebruikers met Windows Vista, waarop security-maatregel DEP is geactiveerd, zijn niet kwetsbaar voor de nu rondgaande malware.
Een andere beschermingsmaatregel is het uitschakelen van JavaScript. Adobe zelf geeft al aan dat dit alleen helpt tegen een specifieke malwarevariant die nu bekend is. Een variant die zijn malafide werk doet z?nder gebruik van JavaScript is mogelijk, bekent de softwaremaker. Dat is in februari ook al gebleken voor een ander pdf-gat.
Vierde 0-day
Het gat in Adobe's software wordt nu al actief misbruikt. Het is het vierde exemplaar dit jaar waarvoor de fabrikant nog geen patch heeft. Dergelijke lekken worden 0-day (zero-day) gaten genoemd. Het lek van febrauri is in maart pas gedicht, waarna het beveiligingsteam van Adobe weer mocht hollen om 0-day gaten te patchen in mei en juli.
Ook die gaten waren al veel langer bekend; tot wel 7 maanden. Daarna heeft een gat in de ontwikkelsoftware van Microsoft weer geleid tot een patch van Adobe. Door al deze noodpatches heeft de softwareproducent ook zijn nieuwe regelmatige patch-cyclus al na de eerste keer moeten uitstellen.
Het gaat om de trojan Troj_Pidief.Uo. Dit virus komt binnen als een pdf-bestand dat de op Javascript gebaseerde malware Js_Agent.Dt bevat. Die laat vervolgens Bkdr_Protux.Bd achter, wat het eigenlijke achterpoortje is.
Grtz/
