Dass sich Virenscanner austricksen lassen, ist mittlerweile bekannt; wie leicht das geht, überrascht dann manchmal doch. So genügt offenbar eine simple Base64-Codierung, um altbekannte PDF-Exploits an den Virenscannern vorbei zu mogeln.
Der Sicherheitsforscher Brandon Dixon hat bei der Analyse einer verseuchten Datei eine interessante Entdeckung gemacht: Sie enthielt eine mit einem Exploit präparierte PDF-Datei, die in eine XDP-Datei eingekapselt war und deshalb von nur von einer einzigen AV-Engine erkannt wurde. Normalerweise sollte die Erkennungsrate deutlich höher sein, wenn eine Datei bekannte Schwachstellen im Reader ausnutzt.
Bei XDP (PDF-Datei) handelt es sich um ein XML-basiertes Dateiformat, das die eigentliche PDF-Datei als base64-kodierten Datenstrom enthält. Öffnet man die Datei, wird sie wie gewohnt vom Reader angezeigt. Dixon experimentierte ein wenig mit dem Format und konnte eine XDP-Datei erstellen, die bei Virustotal von keiner der 42 AV-Engines erkannt wurde – und das, obwohl sie einen Exploit für eine zwei Jahren alte und längst gepatchte Reader-Lücke enthielt. Freilich könnte man mit diesem Demo-Exploit nur Systeme infizieren, auf denen eine entsprechend alte Version des Readers installiert ist.
"Der Exploit ist alt. Der JavaScript-Code ist nicht enkodiert. Das sollte gefixt werden", schreibt Nixon in seinem Blog. Bis dahin sollte man um XDP-Dateien besser einen Bogen machen – schließlich haben auch die Angreifer Zugriff auf diese Informationen. Und das sogar bereits seit über einem Jahr: Ein Kommentar unter dem Blog-Beitrag weist darauf hin, dass das Problem erstmals bereits im Frühjahr 2011 geschildert wurde.
Heise