Besmette PDF's openen automatisch

Een geïnfecteerd PDF-bestand niet openen, is geen waterdichte oplossing om een infectie te voorkomen. In een blogpost legt de Belgische securityspecialist Didier Stevens uit hoe de indexatie in Windows ervoor zorgt dat malafide bestanden automatisch worden geopend.

Stevens testte zijn theorie door een besmette PDF los te laten op een toestel met Windows XP SP2 en Windows Indexatieservice. Het bestand misbruikt de /JBIG2Decode bug in Adobe Acrobat Reader 9.0. Dat lek is al enkele weken bekend, maar Adobe wacht nog zeker tot morgen om een patch uit te brengen.

Normaal raakt u pas geïnfecteerd als u het besmette bestand opent. Maar wanneer Windows Indexing Service het bestand ontdekt, wordt het ook even geopend waardoor kwaadaardige code wordt uitgevoerd.

Zonder interactie
“Als je een slecht PDF-bestand op een machine met Windows Indexing Service hebt staan, dan kan het je machine besmetten”, schrijft Stevens op zijn blog. “En je hebt geen gebruiker nodig om het document te openen of te selecteren.”

De omweg is mogelijk omdat Acrobat Reader een component installeert waarmee zoeksoftware een voorbeschouwing van PDF-documenten kan maken zonder dat het programma zelf wordt opgestart. iFilter, het onderdeel in kwestie, wordt ook gebruikt door Microsoft Search Server 2008, Windows Desktop Search, Sharepoint en SQL Server.