Computerworld News Service: Adskillige sikkerhedsvirksomheder har i denne uge advaret mod en større malware-kampagne, der forsøger at lokke brugerne til at åbne en ondsindet PDF, der udnytter en ikke-lappet design-fejl i formatet.
De brugere, der vælger at åbne filen, bliver inficeret med en variant af den Windows-orm, der er kendt som"Auraax" og "Emold", fortæller eksperter.
Den ondsindede besked camouflerer sig som en systemadministrator-mail under overskriften "Dine mail-indstillinger er blevet ændrede," fortæller Mary Grace Gabriel, som er research engineer ved CA Inc..
En PDF-vedhæftning indeholder tilsyneladende instruktioner til, hvordan man genopsætter de originale indstillinger. "SMTP og POP3-servere til… mailboksen er blevet ændret. Læs de medfølgende instrukser grundigt, inden indstillingerne opdateres," står der i beskeden.
I virkeligheden indeholder PDF'en malware og udnytter formatets /Launch-funktion til at køre den ondsindede software på Windows-pc'er, der bruger den nyeste version af det gratis program Adobe Reader, Adobes betalingsprogram Acrobat eller andre PDF-læsere som for eksempel Foxit Reader.
/Launch-funktionen er ikke en sårbarhed i sig selv men en design-biprodukt ved PDF-specifikationen. Tidligere i denne måned demonstrerede den belgiske forsker Didier Stevens, hvordan en angrebs-PDF kan udnytte /Launch til at køre malware, der er gemt i filen.
For to uger siden sporede sikkerhedseksperter aktivitet fra botnettet Zeus, der er begyndt at anvende /Launch-fejlen til at inficere pc'er.
Adobe har tidligere afvist at svare på, hvorvidt ondsindet brug af /Launch i tilriggede PDF'er kunne få virksomheden til at opdatere Reader og Acrobat men oplyser dog, at en ændring i funktionen måske "vil blive gjort tilgængelig via en af de planlagte produktopdateringer, der finder sted hver tredje måned."
Brad Arkin, som er Adobes øverste chef for sikkerhed og privacy, har anerkendt at en mulig løsning kunne være at slå funktionen fra. I dag er den slået til per default.
Kopierer sig selv til USB-stik
Efter en analyse af angrebs-PDF'erne har andre eksperter fundet ud af, at hackerne udnytter Didier Stevens foreslåede taktik med en modificeret advarsel i Reader og Acrobat.
Adobe Reader fremviser for eksempel en besked, der fortæller brugerne, at de kun skal åbne filer som de ved er sikre. I den samme Windows-dialogboks, viser Reader navnet på den fil, der er ved at blive åbnet.
Ifølge eksperter ved IBM Security Systems har hackere ændret i teksten, så der nu bare står, "klik på 'open' for at se dokumentet."
Andre sikkerhedseksperter, her iblandt dem ved CERT-Lexi i Paris, har også rapporteret om den ondsindede PDF. CERT-Lexi kan tilføje, at malwarens command and control-server findes i Korea.
Researchere fra IBM fortæller, at den omtalte malware tilsyneladende er en version af Auraax- eller Emold-ormen.
Ormen lægger et rootkit på den kompromitterede pc og forsøger desuden at kopiere sig selv til alle eksterne drev, heriblandt USB-stik, for at sprede sig ved hjælp af infektionstaktikken "Autorun", der blev gjort populær af Conficker-ormen i 2008.
Slå autorun fra
Medarbejdere ved IDG (som står bag Computerworld) er blandt modtagerne af den ondsindede PDF-fil.
Beskederne camouflerer sig under navne som "customersupport@ domain name .com," "support@ domain name .com," og "admin@ domain name .com, mens domænenavnet typisk er virksomhedens navn.
En talskvinde fra Adobe nægter at udtale sig om de seneste angreb og siger i stedet, at virksomheden stadig er ved at undersøge /Launch-funktionen i Adobe Reader og Acrobat for at identificere "alle mulige scenarier for denne særlige funktionalitet, så vi kan sikre, at vi ikke ødelægger det almindelige workflow for nogen af vores kunder."
Råder fra Adobe er stadig, at kunderne konfigurerer Reader og Acrobat, så programmerne imødegår den slags angreb, tilføjer hun. Adobe har lagt instruktioner op på sin hjemmeside.
IBM's sikkerhedseksperter anbefaler, at brugerne slår Windows' Autorun fra for alle USB-stik og henviser ellers til et support-dokument fra Microsoft, der indeholder instruktioner og opdateringer.
Oversat af Marie Dyekjær Eriksen
