Thought Leadership
Präparierte PDF-Dateien reichen im Adobe Reader aus, um Systeme zu kompromittieren. Ein Patch existiert bislang nicht.
Sicherheitsforscher haben eine ungepatchte Schwachstelle in Adobe Reader entdeckt, die Angreifer bereits seit mindestens Dezember vergangenen Jahres aktiv ausnutzen. Das geht aus einer Analyse des Forschers Haifei Li hervor, der die Exploit-Erkennungsplattform EXPMON betreibt.
Der Angriff funktioniert ohne jede Nutzerinteraktion: Es genügt, eine entsprechend präparierte PDF-Datei zu öffnen. Li beschreibt den Ablauf so: “Die Probe fungiert als initialer Exploit mit der Fähigkeit, verschiedene Arten von Informationen zu sammeln und abzugreifen, dem potenziell Remote-Code-Execution- und Sandbox-Escape-Exploits folgen.” Der Exploit missbrauche dabei eine ungepatchte Schwachstelle, die privilegierte interne Acrobat-Schnittstellen zugänglich mache, und funktioniere auf der aktuellsten Version von Adobe Reader.
Auffällig ist der Inhalt der eingesetzten Lockvogel-Dokumente: Sie sind auf Russisch verfasst und thematisieren die Öl- und Gasindustrie, was auf eine gezielte Kampagne gegen einen bestimmten Personenkreis hindeutet.
Keine schnelle Lösung in Sicht
Adobe wurde über die Schwachstelle informiert, hat aber bisher weder einen Patch veröffentlicht noch öffentlich Stellung bezogen. Solange das so bleibt, sollten Nutzer PDF-Dateien aus unbekannten Quellen grundsätzlich nicht öffnen.
Wer Netzwerke absichern möchte, kann gezielt nach dem Zeichenkette “Adobe Synchronizer” im User-Agent-Header des ausgehenden Datenverkehrs filtern, da der Exploit diese beim Kontakt nach außen verwendet.
