Gefällt dir dieser Artikel?
Schnatterente
Wer regelmäßig die Newsticker von Heise, Golem und Co. verfolgt, wird sicher schon einmal den Eindruck gewonnen haben, dass der Software-Hersteller Adobe eigentlich permanent mit irgendwelchen Sicherheitslücken zu kämpfen hat. Ein Update jagt das nächste und es scheint so, als täten sich mit jedem weiteren Patch neue Lücken auf.

Kürzlich gab es wieder Grund zur Sorge. Auf der REcon Security Conference in Montreal wurde auf eine schwerwiegende Sicherheitslücke im Adobe Reader 11.0.10 hingewiesen, welche sich unter Zuhilfenahme weiterer Sicherheitslücken in Microsofts Betriebssystem Windows 8.1 (mit Update 1) exploiten ließ.

Das sieht dann so aus:


Was ist in diesem Video zu sehen?

Der Nutzer öffnet eine vorher präparierte PDF-Datei und plötzlich öffnet sich der Windows Taschenrechner. Ein Blick in die Prozessinformationen zeigt, dass der Prozess durch den Nutzer NT Authority\SYSTEM ausgeführt wird. Dabei handelt es sich in Windows-Betriebssystemen um den Nutzer mit den meisten Rechten, er kann weit mehr anstellen als ein Administrator.
Anstatt des Taschenrechners hätte man auch eine beliebige andere Anwendung starten können, zum Beispiel einen Trojaner, der das ganze System lahmlegt oder es heimlich überwacht.

"Unlimited out-of-bounds stack manipulation via BLEND operator"

Wie genau der Exploit funktioniert, ist hier sehr ausführlich beschrieben. Ganz grob zusammengefasst kann man sagen, dass Sicherheitslücken ausgenutzt werden, die mit der Verarbeitung von Post-Script-Schriften zu tun haben. Die Lücken wurden durch Reverse-Engineering der ATMFD.DLL ("Adobe Type Manager Font Driver") gefunden. Die DLL ist seit Windows NT 4.0 dafür zuständig, dass der Windows Kernel mit verschiedenen Schrifttypen umgehen kann (und in Windows 8.1 immer noch enthalten). Das Ausnutzen mehrerer Schwachstellen ermöglicht ein Ausbrechen aus der Sandbox und das Erlangen des oben genannten Rechtelevels. Ab diesem Punkt sind dem Angreifer keine Grenzen mehr gesetzt.

Adobe trägt nicht allein die Schuld an dieser enorm kritischen Lücke. Es ist vor allem der Kernel des Windows-Betriebssystems, der hier ausgehebelt wird. Der Angriff umgeht laut Mateusz "j00ru" Jurczyk "sämtliche modernen Exploit-Schutzverfahren im User- und Kernel-Mode".

Jurczyk weist im oben verlinkten Dokument darauf hin, dass die Grundlagen für den Angriff viele Jahre, teils Jahrzehnte alt sind. Die genannte ATMFD.DLL enthält zum Teil noch uralten Code und Funktionen, die bereits in den 80er und 90er Jahren verworfen wurden. Aufgrund einer gemeinsame Codebasis, betrifft das Problem des veralteten Codes (und der darin enthaltenen Bugs) nicht nur den Adobe Reader, sondern auch Microsofts WPF, DirectWrite und GDI - also grundlegende Windows-Technologien.

Kommentar: Vielleicht wäre das mit Open-Source-Software nicht passiert

Alles in allem macht es den Eindruck, als hätte man sich da in den letzten Jahren zu wenig Zeit für die Codepflege genommen. Dies ist im Falle proprietärer Software wenig verwunderlich, denn Geld lässt sich meist nur mit neuen Features verdienen. Das Beseitigen von Altlasten wird von den Kunden kaum honoriert, das Resultat sind kritische Lücken wie diese.

Wer dem entgehen will, sollte wohl eher zu einem Open-Source-PDF-Betrachter oder gleich zu einem quelloffenen Betriebssystem (wie zum Beispiel GNU/Linux) greifen. Zwar ist die Veröffentlichung des Programmquellcodes kein Garant dafür, dass die Software keine Fehler oder Sicherheitslücken enthält, es ist aber unwahrscheinlicher, da viele unabhängige Entwickler ein Auge auf den Code haben und vorhandene Lücken folglich meist auch schneller gestopft werden.


Nachtrag: Weil hier schon mehrere Fragen ankamen und ich vergessen habe, es zu erwähnen: Die betreffende Lücke wurde gemeldet und noch vor der Veröffentlichung gefixt. Wer aber schon länger keine Updates mehr installiert hat (für Windows und den Adobe Reader), kann durchaus noch angreifbar sein.

Geschnatter

2 Kommentare, selbst mitschnattern << < Seite 1/1 > >>
Karsten, am 21.07.2015 um 14:10 Uhr
Adobe produziert im Grunde genommen keine Software sondern Viren - ganz böse ausgedrückt.
Vergeht überhaupt ein Monat, in dem nicht Flash oder das besagte PDF-Programm wegen einer kritischen Lücke gepatcht werden muss?

Ich bin so dankbar über HTML5 - hoffentlich ist Flash bald für immer Geschichte!
sabrina, am 01.08.2015 um 16:35 Uhr
Man sollte ganz genau aufpassen, was man sich herunter lädt.