Jun
10

Wer hat an der Uhr gedreht…

…oder besser: Wer hat die Datei verdreht! Was des einen Leid mit manipulierten Dateien ist des anderen Freud.  Diese Woche wurde einiges zu verdrehten Dateien gepostet und nicht alle rufen gleich Viren und Würmer auf den Plan.

Didier Stevens schreibt “Look mommy, no hands“, und meint damit, dass er ohne Zutun des Opfers mit einer manipulierten PDF-Datei einen komplett gepatchten Windows XP SP2 Client mit Adobe Reader 9.0 unter seine Kontrolle bringt. Dazu nutzt er die /JBIG2 Schwachstelle. Schon im März hatte der Security-Resercher drei Methoden vorgestellt, bei denen zwar keine Datei geöffnet werden, aber das Opfer immerhin noch passiv mitwirken musste. Wie das geht? Hier die vier Varianten von schadhaften PDF-Dateien: Ausführung des Schadcodes durch…

  1. … einmaliges anklicken des Dokuments. Der Explorer liest dann zusätzliche Informationen aus der PDF-Datei – leider auch die Schadfunktion.
  2. … anzeigen der Datei als Thumbnail.  Zum Rendern der ersten Seite muss die PDF-Datei gelesen werden – und wieder – auch die Schadfunktion.
  3. … zeigen auf die Datei im Explorer. Das Öffnen des Tooltipp-Fensters führt die Schadfunktion auch ohne Klick aus.
  4. … den Windows Indexing Service im System-Hintergrund ohne Zutun des Opfers.

Ein Video zu den drei ersten Methoden finden sie hier.

Aber manipulierte Dateien können einem auch den Kragen retten, weil man mit ihnen Zeit schinden kann, was natürlich absolut unethisch ist. Auf corrupted-files.com bekommt man ein defektes Word-Dokument zur Zeit im Angebot für 3,95$. Die Werbebotschaft der Seite lautet: “Email the file to your professor along with your “here’s my assignment” email. It will take your professor several hours if not days to notice your file is “unfortunately” corrupted.”

Error-Meldung im Foxit-ReaderDidier Stevens reagiert und empfiehlt: Make Your Own Corrupted PDFs For Free. Alles was Sie tun müssen: Die PDF-Datei mit einem Hex-Editor öffnen und das root-Object (/Root) mit einer nicht fiktiven Referenz überschreiben. Danach lässt sich die Datei nicht mehr öffnen.

Die Methode ist vielleicht bei Informatik-Professoren nicht ganz anzuraten. Besonders nicht, wenn der hackende WiMi die Arbeit korrigiert ;-)

Update vom 11.06.2009:
Und tatsächlich: Passend zum Eintrag findet aktuell ein Angriff mittels PDF auf Twitter statt. Heise.de berichtet.

_______________________

Berichten Sie über diesen Beitrag via twitterwitter oder facebookacebook.

Tags: ,

Geschrieben von Sebastian Klipper Schwachstellen, Szene, Vorfälle RSS Feed »

Hinterlassen Sie Ihren Kommentar:

Sie können folgende HTML-Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.

Powered by WP Hashcash