Nieuwe pdf-hack gedraagt zich als wormvirus

Er is een uitbreiding verschenen van de ‘Escape from PDF’-bug die de Belg Didier Stevens vorige week op zijn blog bekendmaakte. De nieuwe variant is in staat elk pdf-bestand op je computer te besmetten.

Jeremy Conway, productmanager bij Nitro Security, heeft een nieuwe proof of concept van een gevaarlijke pdf-exploit online gezet. Hij bouwt daarin voort op de bevindingen van veligheidsonderzoeker Didier Stevens. Die ontdekte vorige week dat er via een standaardfunctionaliteit in pdf-lezers schadelijke code op je computer uitgevoerd kan worden.

In de nieuwe variant wordt er een stukje code in een pdf verborgen dat bij uitvoering alle pdf-bestanden op de computer van de gebruiker besmet. Zo zou de code in documenten kunnen belanden die voor derden bestemd zijn. Daardoor kan de exploit op korte termijn een groot aantal computers besmetten.

Misleidende boodschap
Het concept van de pdf-exploit is eenvoudig: de lezer krijgt een waarschuwing te zien wanneer hij het bestand opent, maar de inhoud van die waarschuwing kan door een hacker gewijzigd worden. Door de melding vertrouwelijk te doen lijken, lokt hij onoplettende gebruikers in de val. Die misleidingmethode heet in vaktermen social engineering.

Wie de openbron-pdf-lezer Foxit gebruikt, loopt zelfs het risico zonder enige waarschuwing geïnfecteerd te geraken. Tot vorige week voerde het programma de verborgen code zomaar uit. Een recente update voorkomt dat wel, maar nu toont het programma net zoals Adobe Reader de twijfelachtige boodschap.

Wie zich in Adobe Acrobat of Reader tegen de exploit wil beschermen, kan het volgende doen: Bewerken > Voorkeuren > Betrouwbaarheidsbeheer > Vakje uitvinken bij ‘Het openen van niet-pdf-bijlagen in externe toepassingen toestaan’.