Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

PDF-Sicherheitslücken: E-Book erklärt das Erkennen von Schad-PDFs

Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.
/ Andreas Sebayang
19 Kommentare News folgen (öffnet im neuen Fenster)

Auf gut 23 Seiten in englischer Sprache fasst Didier Stevens die wichtigsten Hinweise zusammen, die auf eine schädliche Datei im PDF-Format hinweisen. Er schaut sich dabei typische Methoden an, die Angreifer nutzen, um Schadcode in PDF-Dateien zu verstecken. PDF-Dateien sind mittlerweile ein wichtiges Werkzeug für Angreifer geworden, denn der Adobe Reader genießt eine hohe Verbreitung unter Nutzern, egal ob sie unter Windows, Mac OS X oder Linux arbeiten.

Verschiedene Werkzeuge helfen beim Analysieren von potenziell schädlichen PDF-Dateien. Das einfachste ist ein Hex-Editor. Das bedeutet allerdings viel Handarbeit und so führt Stevens den Leser an das Skript PDFiD heran, das den Scanprozess erleichtert. Das Python-Skript erkennt zum Beispiel, ob der PDF-Autor Flash oder Javascript in die Datei eingebunden hat. PDFiD kann PDF-Dateien auch entschärfen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Experte (m/w/d) SuccessFactors Time Max Planck Information and Technology, München (öffnet im neuen Fenster)
Backend / Game Engine Engineer (m/w/d) 4Players GmbH, Hamburg,Home Office (öffnet im neuen Fenster)
Data Warehouse Administrator (m/w/d) ivv GmbH, Hannover (öffnet im neuen Fenster)
IT / ERP Application Expert (m/w/d) Stadtwerke Bad Vilbel GmbH, Bad Vilbel (öffnet im neuen Fenster)
Mitarbeiter:in Digitalisierung (w/m/d) PERBILITY GmbH, Berlin (öffnet im neuen Fenster)
Fachinformatiker (m/w/d) im Rechenzentrum SWU TeleNet GmbH, Ulm (öffnet im neuen Fenster)
Java Developer (m/w/d) SEITENBAU GmbH, Konstanz (öffnet im neuen Fenster)
KI- und Automatisierungsmanager (m/w/d) WULFF GmbH u. Co. KG, Lotte (öffnet im neuen Fenster)

Stevens erklärt grob, wie das PDF-Format aufgebaut ist, damit gute Teile des Dokumentenbeschreibungsformats von schlechten Teilen unterschieden werden können. Zudem gibt er Tipps, wie eine Testumgebung für eine PDF-Datei aufgebaut werden sollte, schließlich soll die Datei nicht versehentlich ausgeführt werden. Besonders problematisch: Mit dem Adobe Reader werden in das System Komponenten installiert, die es möglicherweise erlauben, PDF-Dateien und den integrierten Schadcode auszuführen, ohne dass der Nutzer klicken muss. Einige dieser Dienste arbeiten mit Systemrechten.

Laut dem Internet Storm Center(öffnet im neuen Fenster) behandelt das E-Book nicht alle Angriffsmöglichkeiten. Vor allem das Tarnen des Schadcodes in dem Dokument wird nicht vollständig betrachtet. Stevens erklärt dennoch in verständlichen Beispielen viele Wege, wie ein PDF-Autor versucht, eine PDF-Datei möglichst harmlos wirken zu lassen. Schaut ein Nutzer zur Analyse in eine PDF-Datei in einem Editor und sieht solche Tarnmechanismen, wird die Datei erst recht verdächtig. Jeder, der an der Analyse von Schad-PDFs interessiert ist, findet in dem Dokument einen guten Anfang, um genau solche Hinweise zu entdecken.

Das E-Book befindet sich als gepackte PDF-Datei in Stevens Blog(öffnet im neuen Fenster) .

Zur Startseite 19 Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeDatensicherheitApplikationenAdobe Reader