Avast menganggap eksploitasi PDF tidak terlihat oleh program antivirus

Penjahat sudah mulai menggunakan filter gambar yang tidak jelas untuk membuat file PDF berbahaya semuanya tidak terlihat oleh banyak program antivirus, kata perusahaan keamanan Ceko, Avast Software.

Triknya melibatkan menyembunyikan eksploitasi Adobe Reader yang umum di dalam file PDF (Portable Document Format) dengan mengkodekannya dengan filter JBIG2Decode, biasanya digunakan untuk meminimalkan ukuran file saat menyematkan gambar TIFF (Tagged Image File Format) monokrom di dalam PDF.

[Cari tahu cara memblokir virus, worm, dan malware lain yang mengancam bisnis Anda, dengan saran langsung dari kontributor ahli dalam panduan PDF "Malware Deep Dive". ]

Karena konten tampaknya perangkat lunak antivirus sebagai gambar TIFF dua dimensi yang tidak berbahaya, eksploitasi berbahaya tidak diketahui.

“Siapa yang mengira bahwa algoritme gambar murni dapat digunakan sebagai filter standar pada aliran objek apa pun yang Anda inginkan?” kata analis virus Avast, Jiri Sejtko, dalam sebuah blog. "Dan itulah alasan mengapa pemindai kami tidak berhasil mendekode konten asli - kami tidak mengharapkan perilaku seperti itu."

Sebagian dari masalahnya adalah ruang lingkup yang ditawarkan oleh spesifikasi PDF untuk menggunakan filter seperti JBIG2Decode dengan cara yang tidak biasa, dan bahkan untuk menggunakan beberapa dari mereka sekaligus secara berlapis, katanya.

Kerentanan TIFF yang menjadi target adalah CVE-2010-0188 dari Februari 2010, yang memengaruhi Adobe Reader 9.3 atau versi sebelumnya yang berjalan di Windows, Mac, dan Unix. Versi saat ini, Reader X 10.x, tidak terpengaruh meskipun banyak pengguna masih menggunakan versi yang lebih lama.

Selain itu, peneliti Avast percaya bahwa teknik filter JBIG2Decode yang sama sedang digunakan untuk menyembunyikan eksploitasi lainnya, termasuk, eksploitasi font TrueType dari September 2010 yang memengaruhi Reader 9.3.4 yang berjalan di semua platform.

“Kami telah melihat trik jahat ini digunakan dalam serangan yang ditargetkan dan sejauh ini telah digunakan dalam sejumlah kecil serangan umum. Mungkin itu sebabnya tidak ada orang lain yang bisa mendeteksinya, ”kata Sejtko. Avast kini telah memperbarui perangkat lunaknya untuk mendeteksi serangan JBIG2Decode.

Teknik yang menutupi eksploitasi dengan cara ini akan tetap relatif menuntut untuk diambil oleh pemindai antivirus karena mereka memerlukan tipuan untuk tidak dipilah menggunakan algoritme khusus daripada tanda tangan sederhana.

Sejtko mengatakan bahwa peneliti Avast akan membahas penggunaan filter untuk menyembunyikan eksploitasi pada Lokakarya Caro 2011 mendatang yang diadakan di Praha pada 5-6 Mei.