Tweet

0

Besmette PDF's openen automatisch

Belg ontdekt zwak punt in Windows-indexatie

Een besmet PDF-bestand niet openen is geen waterdichte oplossing om een infectie te voorkomen. In een blogpost legt de Belgische securityspecialist Didier Stevens uit hoe de indexatie in Windows ervoor zorgt dat malafide bestanden automatisch worden geopend.

Stevens testte zijn theorie door een besmette PDF los te laten op een toestel met Windows XP SP2 en de Windows Indexatieservice gestart. Het bestand misbruikt de /JBIG2Decode-bug in Adobe Acrobat Reader 9.0. Dit lek is al enkele weken bekend, maar Adobe wacht nog zeker tot morgen om een patch uit te brengen.

Normaal wordt uw computer pas geïnfecteerd zodra u het besmette bestand opent. Maar wanneer Windows Indexing Service het bestand ontdekt, wordt dit ook even geopend - waarna de kwaadaardige code wordt uitgevoerd.

Zonder interactie
“Als je een slecht PDF-bestand op een machine met Windows Indexing Services hebt staan, dan kan het je machine besmetten”, schrijft Stevens op zijn blog. “En je hebt geen gebruiker nodig om het document te openen of selecteren.”

De omweg is mogelijk omdat Acrobat Reader een component installeert waarmee zoeksoftware een voorbeschouwing van PDF-documenten kan maken zonder dat het programma zelf wordt opgestart. Ifilter, het onderdeel in kwestie, wordt ook gebruikt door Microsoft Search Server 2008, Windows Desktop Search, Sharepoint en SQL Server.

bron: ZDNet