PDF-lek op grote schaal misbruikt

Windows-gebruikers die de van malware voorziene PDF-bestanden openen, lopen de kans dat hun systeem wordt besmet met varianten van een internetworm die bekendstaat als Auraax of Emold. Dat meldt Computerworld op basis van informatie van securityspecialisten van onder meer CA en IBM.

Redactie AG ConnectMeer van deze auteur

De Auraax- of Emold-worm deponeert een ‘rootkit’ op de aangevallen pc en probeert zichzelf daarnaast te kopiëren naar alle verwisselbare schijfstations, waaronder USB-sticks. Daarbij wordt dezelfde Autorun-functie gebruikt die aan de basis ligt van de Conficker-worm.

De PDF-documenten met malware komen bij de slachtoffers binnen als bijlage van mailtjes die afkomstig lijken te zijn van systeembeheerders of helpdesks. In de mailtjes wordt beweerd dat de PDF’s instructies bevatten om de instellingen van het mailprogramma aan te passen omdat de SMTP- en POP3-mailservers zijn veranderd. In werkelijkheid zorgt het slachtoffer er door de PDF te openen zelf voor dat kwaadaardige software op zijn computer wordt geïnstalleerd.

Ook gebruikers die de laatste versie van Adobe Reader hebben geïnstalleerd of een alternatieve PDF-lezer zoals Foxit gebruiken zijn kwetsbaar. Adobe heeft het beveiligingslek tot dusver niet gepatcht. In feite gaat het overigens niet om een echt lek maar om een doelbewust in de PDF-technologie opgenomen voorziening die /Launch heet. De Belgische onderzoeker Didier Stevens demonstreerde enkele weken geleden hoe de functie kan worden misbruikt om pc’s te infecteren met malware die in documenten is verstopt.

Onderzoekers van IBM-dochter Internet Security Systems (ISS) constateerden dat hackers hun slachtoffers om de tuin leiden door de waarschuwing te veranderen die Adobe Reader geeft alvorens bestanden te openen. In de plaats van de waarschuwing is een tekst gekomen die de gebruiker juist aanmoedigt om het document te openen.

Adobe heeft nog niet ondubbelzinnig gezegd dat het de /Launch-functie in een update zal aanpassen om misbruik te voorkomen. In afwachting daarvan is het mogelijk om de functie standaard uit te schakelen. Nu is het tegendeel het geval. Adobe geeft op zijn supportsite wel uitleg hoe gebruikers aanvallen via PDF-bestanden kunnen tegengaan. IBM ISS adviseert bovendien dat gebruikers de Autorun-functionaliteit handmatig uitschakelen voor alle USB-memorysticks. Bij Microsoft zijn daarvoor instructies te vinden.

Van digitale werkplek naar strategisch voordeel: hoe DEX-beheer kosten bespaart én de business versterkt

Stop met brandjes blussen. Start met DEX-beheer en maak van je digitale werkplek een strategisch voordeel.

2 min

Blog migratie, windows 11 Partner

Waarom migreren zonder datasturing vragen om problemen is

Zonder datasturing wordt migreren al snel chaos. Ontdek hoe je risico's voorkomt en vertrouwen opbouwt met data.

3 min

Blog digitale werkplek Partner

Werkplekbeheer: zelf doen of uitbesteden?

Werkplekbeheer: zelf doen of uitbesteden en hoe zit het met datasouvereiniteit?

4 min

Meer whitepapers

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Cloud Partner

Hoe de cloud onze manier van werken heeft veranderd

Het gebruik van cloud-gebaseerde oplossingen voor documentbeheer, printmanagement en workflowautomatisering groeit enorm.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee