DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 18 Juni, 2012, 13:35
-
Dass sich Virenscanner austricksen lassen, ist mittlerweile bekannt; wie leicht das geht, überrascht dann manchmal doch. So genügt offenbar eine simple Base64-Codierung, um altbekannte PDF-Exploits an den Virenscannern vorbei zu mogeln.
Der Sicherheitsforscher Brandon Dixon hat bei der Analyse einer verseuchten Datei eine interessante Entdeckung gemacht: Sie enthielt eine mit einem Exploit präparierte PDF-Datei, die in eine XDP-Datei eingekapselt war und deshalb von nur von einer einzigen AV-Engine erkannt wurde. Normalerweise sollte die Erkennungsrate deutlich höher sein, wenn eine Datei bekannte Schwachstellen im Reader ausnutzt.
Bei XDP (PDF-Datei) handelt es sich um ein XML-basiertes Dateiformat, das die eigentliche PDF-Datei als base64-kodierten Datenstrom enthält. Öffnet man die Datei, wird sie wie gewohnt vom Reader angezeigt. Dixon experimentierte ein wenig mit dem Format und konnte eine XDP-Datei erstellen, die bei Virustotal von keiner der 42 AV-Engines erkannt (https://www.virustotal.com/file/7ca52e507d68fa15cd2016df0067729f0346a335d97e3a9d31aab3c1f7b3027f/analysis/1339798732/) wurde – und das, obwohl sie einen Exploit für eine zwei Jahren alte und längst gepatchte Reader-Lücke enthielt. Freilich könnte man mit diesem Demo-Exploit nur Systeme infizieren, auf denen eine entsprechend alte Version des Readers installiert ist.
"Der Exploit ist alt. Der JavaScript-Code ist nicht enkodiert. Das sollte gefixt werden", schreibt Nixon in seinem Blog. Bis dahin sollte man um XDP-Dateien besser einen Bogen machen – schließlich haben auch die Angreifer Zugriff auf diese Informationen. Und das sogar bereits seit über einem Jahr: Ein Kommentar unter dem Blog-Beitrag weist darauf hin, dass das Problem erstmals bereits im Frühjahr 2011 geschildert (http://shiftordie.de/blog/2011/02/09/evading-avs-using-the-xml-data-package-xdp-format/) wurde.
Quelle : www.heise.de