Nowy eksploit dla plików PDF niewidoczny dla programów antywirusowych

Cyberprzestępcy wykorzystują filtr JBIG2Decode (używany zwykle do zmnijeszania rozmiaru osadzanych czarnobiałych obrazów TIFF w dokumentach PDF) i za jego pomocą ukrywają malware. Ponieważ zawartość pliku jest interpretowana przez programy antywirusowe jako niegroźne dwuwymiarowe obrazy, kod wirusa pozostaje przez nie niezauważony.

Zdaniem Jiri Sejtko, analityka firmy Avast, wykorzystanie czysto graficznego filtru do przetworzenia dowolnego strumienia danych (w tym przypadku złośliwego kodu) było trudne do przewidzenia i właśnie to było przyczyną braku sukcesu skanera antywirusowego uruchomionego na tak spreparowanym pliku.

Co gorsza, specyfikacja PDF pozwala na wykorzystanie filtrów takich jak JBIG2Decode (w tym nawet kilku tego typu filtrów jednocześnie) w niestandardowy sposób. Atak korzysta z luki CVE-2010-0188 (odkrytej w lutym 2010) i jest skuteczny na Adobe Reader w wesji 9.3 i wcześniejszych (na Windows, Mac, Unix). Aktualne wersje Reader X 10.x są na niego odporne, jednak wielu użytkowników ciągle korzysta ze starszych programów.

Zdaniem inżynierów firmy Avast technika ukrywania znanych już eksploitów za pomocą filtru JBIGDecode jest stosowana także dla innych znanych już luk, takich jak na przykład tej odkrytej we wrześniu 2010, a dotyczącej czcionek TryeType, na którą podatny jest Adobe Reader 9.3.4 (na wszystkich platformach). Analitycy firmy Avast zaobserwowali wykorzytanie tej techniki w jednym ukierunkowanym ataku i w stosunkowo małej liczbie ogólnych ataków. Oprogramowanie antywirusowe tej firmy zostało już zaktualizowane tak, by wykrywać złośliwy kod ukryty przy pomocy tego filtru graficznego.

Technika maskowania eksploitów w taki sposób będzie wyzwaniem dla programów antywirusowych, gdyż odkrycie złośliwego kodu wymaga raczej zastosowania dedykowanego algorytmu niż prostej sygnatury.