Jeremy Conway, ekspert ds. zabezpieczeń z firmy NitroSecurity odkrył niedawno sposób na aktywowanie złośliwego kodu za pomocą plików PDF. W metodzie prezentowanej w ramach proof-of-concept plik PDF służył jako narzędzie aktywacji wcześniej zainstalowanego malware kodu i zarządzania nim, m.in. poprzez komendę /Launch.

"PDF Worm demo" - Jeremy Conway

Sprawa początkowo prezentowała się niegroźnie - powodzenie ataku wymagało bowiem, aby na komputerze ofiary zainstalowane zostało wcześniej inne złośliwe oprogramowanie. Co więcej, najpopularniejsza przeglądarka PDF - Adobe Reader - już od dawna ostrzegała użytkownika o próbie uruchomienia z poziomu PDF pliku wykonywalnego. Konkurencyjna Foxit Reader wprowadziła to samo rozwiązanie natychmiast po ujawnieniu sprawy.

Szybko okazało się, że problem jest poważniejszy niż przypuszczano. Specjalista Didier Stevens, zaledwie tydzień po opublikowaniu danych o dziurze w PDF, zaprezentował na swoim blogu jak można przygotować zarażony plik w ten sposób, by po otwarciu sam, automatycznie instalował w systemie złośliwy kod. Ważniejsze jednak, że ekspert znalazł sposób by zarówno Adobe Reader, jak i Foxit Reader nie wyświetlały ostrzeżenia o uruchomieniu pliku wykonywalnego z poziomu otwieranego PDF, a wręcz zachęcały użytkownika by to zrobił.

Badania specjalistów razem dowiodły, że obecnie można wykorzystać plik PDF do przeprowadzenia skutecznego ataku na w pełni zaktualizowany Windows oraz czytnik Adobe Reader lub Foxit Reader.

Stevens alarmuje, że jedyną skuteczną metodą ochrony peceta jest wyłączenie komendy /Launch w Adobe Reader. Niestety Foxit Reader nie ma takiej funkcji.