'Sandbox-beveiliging Adobe volledig gekraakt'

Het Russische beveiligingsbedrijf Group-IB waarschuwt Adobe voor een 0-day gat in zijn gratis PDF-lezer. Daarmee is de sandbox-beveiliging te doorbreken. Adobe kan niets doen zonder meer details.


Beveiligingsexperts van Group-IB treden naar buiten met gevonden exploits in Adobe Reader X en de nieuwe versie XI. Via de door hun gevonden 0-day zou voor het eerst de extra sandbox-beveiligingslaag zijn te doorbreken, die Adobe heeft ingebouwd in zijn software. Hierdoor valt vijandige code uit te voeren op pc waar die veelgeplaagde PDF-programmatuur op is geÔnstalleerd.

Adobe heeft bescherming met isolatielagen (sandboxing) sinds 2010 doorgevoerd in zijn producten, met zijn gratis PDF-lezer als eerste. Begin dit jaar is Flash gevolgd, dat ook veel door cybercriminelen op de korrel wordt genomen. Dankzij de isolatie wordt toegang tot andere geheugendelen voorkomen, zodat malware zichzelf niet kan uitvoeren.

Fout in de broker

De isolatietechniek die is ingebouwd in Reader X scheidt PDF-documenten - en mogelijke malware daarin - in verschillende sandboxes. De communicatie met het eigenlijke besturingssysteem gebeurt dan via een tussenlaag; de zogeheten broker. Dat proces van de Reader-software draait dan met hogere privileges dan de geÔsoleerde segmenten.

Afgelopen zomer heeft een Franse onderzoeker opmerkelijke gebreken ontdekt in Adobe's implementatie van geheugenbeschermingstechniek ASLR. Dat eigenlijke verdedigingsmechanisme zorgde er per ongeluk voor dat via een fout in de broker valt in te breken op pc's. Aangezien Google dezelfde techniek toepast in zijn browser Chrome (met open source-basis Chromium), kwam ook dat bedrijf met een patch.

Exploit-voorwaarden

Dit keer lijkt het te gaan om een volledige kraak van de sandboxes. Aan succesvol gebruik van deze exploit hangen wel enkele voorwaarden, aldus de ontdekkers. De exploit kan pas worden uitgevoerd als een gebruiker zijn webbrowser met PDF plug-in van Adobe (of de Reader-software zelf) volledig afsluit. Ook is het omzeilen tot dusver enkel gelukt bij installaties van de PDF-lezer op Windows.

In een reactie op de bevindingen van de Russiche hackers vraagt Adobe om meer details. "Wij hebben de berichten vernomen en contact gezocht met Group-IB. Maar zonder aanvullende details is er helaas niets dat wij kunnen doen. Los van het verder monitoren van alle bedreigingen in samenwerking met partners in de beveiligingsgemeenschap, zoals altijd", meldt een woordvoerster van Adobe aan Ars Technica.

Overal te koop op de zwarte markt

De nieuwe exploit zou al onderdeel uitmaken van de beruchte Blackhole Exploit Kit, het commerciŽle pakket dat gaten in diverse webapplicaties misbruikt om malware te verspreiden. Ook zou de exploit los aangeboden worden op internetfora voor bedragen tussen de 30.000 en 50.000 dollar. De ontdekkers van Group-IB demonstreren hun proof-of-concept in een YouTube-video.

Proof-of-concept code toont de hack in actie: