Dalším nosičem škodlivých programů se stává PDF

Dokumenty PDF patří mezi nejčastěji používané formáty pro sdílení dokumentů na webu, nikoho dnes již příliš nepřekvapí, když obdrží právě takovýto soubor e-mailem nebo si v něm stáhne článek, knihu či manuál z webu. Díky jeho rozšířenosti není problém zpracovat formát PDF na různých platformách, nicméně uživatelé Windows by se měli mít na pozoru – útočníci své choutky a podvody velice často ztělesňují právě pomocí tohoto formátu.

Na nebezpečí aktuálně upozornila i společnost Symantec, která zmiňuje, že během uplynulého roku bylo pro distribuci malwaru nejpopulárnější právě PDF. Formát PDF je nyní hlavní typ souborů používaných k útokům, v roce 2009 využívalo přibližně 52,6 % cílených útoků formát PDF a v roce 2010 už to bylo 65 %, což je nárůst o 12,4 %. Přestože nyní v únoru došlo k poklesu, pokud by pokračoval trend z minulého roku, mohlo by v polovině roku 2011 až 76 % cíleného malwaru zneužívat PDF.

Paul Wood, MessageLabs Intelligence Senior Analyst společnosti Symantec, pak vzápětí dodává: „Cílené útoky zneužívající PDF nepolevují a lze očekávat, že se situace bude nadále zhoršovat, jelikož počítačoví zločinci musí hledat nové způsoby v oblasti malwaru a šíření a maskování škodlivého kódu.“ Ať už celkový poměr zastoupení nebezpečných PDF souborů oproti loňskému roku stoupne nebo klesne, jedno je jisté: koncoví uživatelé si musí tento typ útoků do svého seznamu ostražitosti přidat zdůrazňujícím červeným písmem.

Nebezpečná velikost

Jednou z možností, jak lze dokumenty PDF zneužít, je spuštění vloženého kódu. V drtivé většině případů mu však v prohlížeči (jímž je nejčastěji Adobe Reader) předchází zobrazení varovného dialogu a dotaz směřující k uživateli, zda chce danou akci povolit. V tomto kroku se obrazně řečeno láme chleba, jelikož nemálo uživatelů další z mnoha dialogů automaticky odsouhlasí, jen aby už byl pryč. Vina tak podobně jako u jiných útoků padá na bedra samotného uživatele, jelikož je zapotřebí jeho interakce.

Ukázka klasického spamu, který obsah šíří prostřednictvím PDF přílohy

Během loňského roku se však objevily také útoky, v nichž nemusí uživatelova bezhlavost hrát hlavní roli. O jednom z nich ve svém článku referoval populární Computeworld v článku Malicious PDF file doesn't need a software vulnerability. Didieru Stevensi, tvůrci odpovídajícího PoC kódu, se podařilo vyrobit upravený PDF dokument, který po svém otevření v Adobe Readeru upravil varovné hlášení, zmátl uživatele a automaticky spustil program Kalkulačka, výchozí součást Windows. Kalkulačka byla použita samozřejmě pouze pro účely ukázky možného nebezpečí, útočník by volání calc.exe mohl nahradit spuštěním vlastního škodlivého kódu.

Nebezpečné PDF dokumenty si vysloveně říkají o šíření dvěma nejčastějšími kanály, tedy prostřednictvím hromadně rozesílané nevyžádané pošty a skrze přímé stažení z webových stránek. Není od věci se na chvíli pozastavit nad vytížením pásma různými druhy spamu. Původní textový spam byl v tomto ohledu samozřejmě poměrně shovívavý, čistě textová nevyžádaná pošta otravovala, ale vytíženost linek v drtivé většině nevyčerpala (i když v úvahu vezmeme více historické datové propustnosti).

Obrázkový spam předznamenal problém, grafika hladce dokázala spolknout více. Vytížení pásma v absolutních číslech je samozřejmě v rámci několika málo spamů v organizacích zanedbatelné, když ale ve špičce dojde třeba k padesátipro­centnímu obsazení kapacity, lze to výrazně pocítit. Po textu a obrázcích si PDF spam nebere servítky, některé nevyžádané zprávy mají PDF přílohy v řádu stovek kilobajtů až megabajtu, nápor na přenos a omezené velikosti účtů tak není zanedbatelný.

Pomalu, zato vytrvale

Podle dřívějších zpráv se podíl spamu s přiloženými PDF soubory pohybuje kolem tříprocentní hranice veškeré nevyžádané pošty, nicméně v případě jednorázových vln může stoupnout na několikanásobek. Hlavním tématem nevyžádané pošty se PDF stávají staré dobré cenné papíry, sekundují nabídky farmaceutických výrobků a další témata, která dobře známe z ostatních forem spamu.

Sekce s bezpečnostními opravami a upozorněními na webu Adobe

Dokumenty ve formátu PDF nemusí být samy o sobě přímou hrozbou, ale „pouze“ zprostředkují zneužití jinou formou. Typicky se jedná o to donutit uživatele, aby otevřením PDF souboru v konkrétním prohlížeči dovolil využít zranitelnosti, která je pro odpovídající software známá. Jedná se o klasický a dlouhodobě známý i používaný scénář, jenž u PDF souborů cílí především na nově objevené skuliny Adobe Readeru – nejen pro něj je na stránkách Adobe ucelený souhrn bezpečnostních informací a vydaných oprav.

Jak takové nepřímé zneužití dokumentů PDF vypadá v praxi? Pro příklad sáhněme do odkazované databáze Adobe, která kromě jiných nabízí i popis oblíbeného Denial of Service útoku. V dřívější verzi aplikace Adobe Reader byla objevena vysoce kritická zranitelnost, jejímž zneužitím by útočník mohl zapříčinit již zmíněný útok DoS, kromě Adobe Readeru byl postižen také program Adobe Acrobat.

       

Chyba obou programů postihovala uživatele webového prohlížeče Internet Explorer, doporučené řešení spočívalo ve vymazání knihovny AcroPDF.dll, které znemožní otevírání PDF dokumentů v Internet Exploreru. V případě napadení byl průběh jednoduchý, uživatel v Internet Exploreru otevřel připravený soubor PDF, Adobe Reader takzvaně „spadl“ a takto provedený DoS útok ještě mohl vyústit ke vzdálenému spuštění kódu.

V případě nevyžádané pošty obsahující PDF přílohy je obrana jednoduchá, stačí udržet svou zvědavost na uzdě a takovéto dokumenty neotevírat. U automatického zneužití nově objevených skulin PDF čteček se pak dalším nezbytným dílem stává stahování a otevírání PDF dokumentů pouze z důvěryhodných zdrojů, společně s pravidelnou aktualizací odpovídajícího softwaru. Zneužití dokumentů PDF je plíživou hrozbou, nelze čekat, že by se skokově stalo primárním prostředkem útočníků. O to delší dobu však může škodit a otravovat nám život v menší míře.