Een besmet pdf-bestand niet openen is geen oplossing om een infectie te voorkomen. Volgens de Belgische securityspecialist Didier Stevens zorgt de indexatie in Windows ervoor dat malafide bestanden automatisch worden geopend.

Een besmet pdf-bestand niet openen is geen waterdichte oplossing om een infectie te voorkomen. In een blogpost legt de Belgische securityspecialist Didier Stevens uit hoe de indexatie in Windows ervoor zorgt dat malafide bestanden automatisch worden geopend.

Stevens testte zijn theorie door een besmette pdf los te laten op een toestel met Windows XP SP2 en de Windows Indexatieservice gestart. Het bestand misbruikt de /JBIG2Decode-bug in Adobe Reader 9.0. Dit lek is al enkele weken bekend, maar Adobe heeft voorlopig nog geen patch uitgebracht.

Normaal wordt je computer pas geïnfecteerd zodra je het besmette bestand opent. Maar wanneer Windows Indexing Service het bestand ontdekt, wordt dit ook even geopend – waarna de kwaadaardige code wordt uitgevoerd.

Zonder interactie
“Als je een slecht PDF-bestand op een machine met Windows Indexing Services hebt staan, dan kan het je machine besmetten”, schrijft Stevens op zijn blog. “En je hebt geen gebruiker nodig om het document te openen of selecteren.”

De omweg is mogelijk omdat Acrobat Reader een component installeert waarmee zoeksoftware een voorbeschouwing van pdf-documenten kan maken zonder dat het programma zelf wordt opgestart. Ifilter, het onderdeel in kwestie, wordt ook gebruikt door Microsoft Search Server 2008, Windows Desktop Search, Sharepoint en SQL Server.

update 11/03: Adobe heeft een beveiligingsupdate klaar voor het lek in Reader 9 en Acrobat 9. De patch komt extreem laat, want het lek is al twee maanden bekend en wordt intussen gretig misbruikt. De patch is enkel voor versie 9 van Adobe Reader en Acrobat. Versie 7 en 8 worden pas op 18 maart gepatcht.