PDF-Dateien attackieren Windows-PCs

Eine Forschergruppe des französischen Militärs um Dr. Eric Filiol hat einen Weg gefunden, durch manipulierte PDF-Dateien Daten auf Windows-PCs zu verändern, heimlich über das Internet auf fremde Rechner zu kopieren oder Login-Daten auszuspähen. Laut Filiol und seinen Mitstreitern sind bislang keine ernst zu nehmenden Attacken durch PDF-Files bekannt geworden, ihr Ansatz sei die erste effektive Sicherheitsattacke überhaupt. Herkömmliche Antivirensoftware bietet keinerlei Schutz gegen PDF-Angriffe, da sie keine Bedrohung erkennen kann.

Anzeige
c't wissen - DSGVO 2020 in der Praxis

Um derartige gefährliche PDF-Dokumente zu erstellen, bedienten sich die Forscher herkömmlicher Texteditoren und veränderten die von Haus aus harmlosen Dateien von Hand. Anfällig sind alle Windows-PCs, auf denen der Adobe Acrobat Reader zum Betrachten der PDFs verwendet wird. Andere PDF-Reader wie der Foxit PDF Reader dienen nicht als Einfallstor für die gezeigte Attacke.

Der Angriff basiert darauf, dass PDFs nicht nur Bilder und Texte enthalten, sondern auch Kommandos an das Betriebssystem senden können. Die Kommandos werden dann mit den Benutzerrechten des gerade angemeldeten Anwenders ausgeführt. Filiol demonstrierte auf der Black-Hat-Konferenz in Amsterdam, wie ein präpariertes PDF nach dem Öffnen eine gefälschte Aufforderung zum Update ausgibt, die der Anwender in der Regel bestätigt. De facto wird hierdurch aber eine DLL des Acrobat Readers ausgetauscht, um weitere Sicherheitswarnungen zu unterdrücken. In der Folge passieren alle Dateikopiervorgänge, ohne dass der Anwender etwas davon bemerkt.

Filiol zeigte auch, wie z.B. eine Banking-Website perfekt durch ein PDF nachgeahmt wird, inklusive der Felder für Benutzername und Passwort. Der PDF-Standard beherrscht Funktionen, um diese Eingaben abzufangen und heimlich an den Ersteller des Dokuments versenden.

Anwendern, die sich vor solchen Angriffen in Acht nehmen wollen, empfiehlt Dr. Eric Filiol entweder den Einsatz eines alternativen PDF-Readers oder den Schutz der Acrobat-Reader-Datei acrord32.dll und der Sprachdatei rdlang32 auf Filesystemebene. Außerdem wollen die Forscher in Kürze eine Freeware veröffentlichen, die nach Veränderungen in der Windows-Registry sucht, die auf bösartige PDF-Dateien zurückzuführen sind. (ur)