Vom DoS bis zum Datenklau – Angriffe über PDF Dokumente

PDF

Wer sich mit PDFs gegenüber Office-Dokumenten in Sicherheit wiegt, liegt falsch. Auf der Black Hat 2020 zeigte Jens Müller mehrere mögliche Angriffe.

Viele Nutzer sehen PDF-Dateien als ein vermeintlich sicheres Datenauschtauschformat für Rechnungen, Verträge und Formulare gegenüber Office-Suiten mit ihren Makro-Viren und anderen Exploits an. Sicherheitsforscher Jens Müller hat sich im Rahmen der Black Hat 2020 mit dem PDF-Standard beschäftigt und zahlreiche Implementierungsprobleme vom manchmal nicht eindeutigen Standard sowie Sicherheitsfallen im täglichen Gebrauch gefunden.

Hierzu hat Müller mit einem Editor PDF-Dokumente manipuliert. Das Resultat: Er kann mit simplen Endlosschleifen, die beim Öffnen die CPU-Last in die Höhe treiben, oder mit in den PDF eingebetteten und wenige Byte großen ZIP-Bomben, die nach dem Öffnen jedoch mehrere Gigabytes des Arbeitsspeichers in Anspruch nehmen, sogenannte DoS-Angriffe (Denial of Service) durchführen. Außerdem hat er es geschafft, dass eingegebene Daten – zum Beispiel von Formularen – an eine externe URL gesendet werden; schlimmer noch, er kann zudem auf Dateien des Anwenders zugreifen und diese im Netz veröffentlichen.

Um an Benutzerpasswörtern zu gelangen, benutzt Müller einen Network-Share als Dateipfad, über den er einen Druckauftrag startet. Damit kann er den NT User Name und NTLM Hash klauen, um diesen über einen URL Backchannel auf eine beliebige URL im Internet zu transportieren. Somit können mit einem präparierten PDF-Dokument auch Login-Daten geklaut werden – der Hash muss nur noch durch bekannte Methoden geknackt werden. Und wenn das Opfer zum Beispiel ein VPN oder Cloud-Paket wie Office 365 verwendet, kann sich der Angreifer damit in vielen Fällen ebenfalls in der Infrastruktur der Firma anmelden.

Darüber hinaus kann ein Hacker mit PDF-Dokumenten alle Dateien manipulieren, für die der Benutzer eine Schreibberechtigung hat. Ferner fand Müller eine Option zur Remote-Code-Ausführung, mit der ein Angreifer beliebigen im PDF geschmuggelten Code auf dem Zielsystem ausführen kann. Er betrachtet alle Angriffe, die eine Interaktion des Nutzers voraussetzen, als fehlgeschlagen: Oft genügt schon die Preview im Dateimanager – wie der Explorer oder Nautilus –, um den Angriff durchzuführen.

Mehr oder weniger betroffen und getestet sind 18 PDF-Reader unter Windows, zwei unter macOS, drei unter Linux sowie die Webbrowser Chrome, Firefox, Safari, Opera und Edge – unter zahlreichen Systemen von Windows 10 bis Android und Linux.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.