کامپیوترورلد طی گزارشی اعلام کرد، ایرادی در طراحی فرمت رایج PDF ادوبی شناسایی شده که با استفاده از آن هکرها میتوانند بدافزارهای مالی را روی کامپیوترهای کاربران نصب کنند. البته این ایراد را نمیتوان بهطور کامل یک ضعف امنیتی قلمداد کرد. چندی پیش استیونس، از پژوهشگران بلژیکی بخشی از مشکل مذکور را فاش کرده و نشان داد که چطور میتوان بااستفاده از تابع Launch/ در این ویژگی PDF طی حملهای چندمرحلهای، حتی یک نسخه کاملاً اصلاحیهگذاری شده Adobe Reader را نیز تحتکنترل درآورد.
راهبردی که استیونس ازآن بهره برده، برخلاف بسیاری از حملههایی است که با استفاده از ضعفهای امنیتی فایلهای PDF به آنها آسیب میرسانند. جهت نفوذ به این فایلها به وجود چنین ضعفهایی در نرمافزار Adobe Reader یا Acrobat نیازی نیست و درعوض از مهندسی اجتماعی برای نیرنگ کاربران و بازکردن یک PDF آلوده استفاده میکند.
استیونس در دموی خود نشان داد که چگونه از یک سند PDF که حاوی کد مهاجم است برای سوءاستفاده از تابع Launch/ بهره میبرد. بااینکه Adobe Reader و Acrobat اجرای یک برنامه در داخل یک فایل PDF را تشخیص داده و یک پیغام اخطار نمایش میدهند، استیونس راهی پیدا کرده که پیغام مذکور را اندکی تغییر میدهد تا کاربر را بیشازپیش به تأیید این فرآیند مجاب کند.
بودای مدیرعامل شرکت Truster از عرضهکنندگان محصولات و خدمات امنیتی میگوید: «هکرها میتوانند به سادگی مشابه آنچهرا که استیونس انجام دادهاست، انجام دهند.» به گفته او، اطلاعات استیونس بسیار روشن و اقتباس از آن ساده است و چنین بهنظر میرسد که حملهای که با استفاده از آن انجام میشود، بسیار مؤثر است. هرچند استیونس کدهای این حمله را منتشر نکردهاست، مهندسان Truster بهسادگی توانستند حمله او را که شامل ایجاد تغییرات در پیغامهای اخطار نرمافزارهای Reader و Acrobat بود، تقلید کنند. بودای تصور میکند که مجرمان نیز میتوانند از این حمله تقلید کنند.
او میگوید: «مجرمان میتوانند در شبکه سایتهایی که هک شدهاند با انجام چندین حمله بکوشند تا کامپیوترهای بیشتری را آلوده کنند و ایرادی که بهتازگی شناسایی شده گزینه دیگری برای این منظور است.» ادوبی ایراد مذکور را تأیید کرده، اما تا زمان تهیه این گزارش برای مقابله با این حمله اصلاحیهای منتشر نکردهاست، با اینهمه به کاربران اعلام کرده، با تغییر تنظیمات Reader و Acrobat، تابع Launch/ را غیرفعال کنند. گاتوالز مدیر تولید گروه Adobe Reader چندی پیش توصیه کرد، کاربران با برداشتن تیک گزینه Allow opening of non-PDF file attachments with external applications در صفحه ترجیحات یا Preferences آنها حملهها را بلوکه کنند. Reader و Acrobat بهطور پیشفرض گزینه مذکور را تیک زدهاند و این به آن معنی است که حملهای که استیونس آنرا گزارش کردهاست میتواند انجام پذیرد.
گاتوالز همچنین نشان داد، چگونه مدیران آیتی مراکز بزرگ میتوانند از رجیستری ویندوز، روی همه کامپیوترها تیک گزینه مذکور را در Reader و Acrobat بردارند. آرکین از دیگر مدیران ادوبی نیز چندین گزینه را برای حلکردن این مشکل توصیه میکند که ازجمله آنها یک بهروزرسانی در نرمافزارهای Reader و Acrobat است که تیک پیشفرض آن گزینه را برمیدارد.
ادوبی زمانی که اظهارداشت قصد ندارد اجراپذیری جاوااسکریپت را از اسناد PDF حذف کند نیز همین توضیح را دادهبود؛ درخلال سال گذشته هکرها بارها با سوءاستفاده از ضعفهای Reader و Acrobat در پیادهسازی این زبان اسکریپتنویسی حملههای متعددی را انجام دادهبودند.
به گفته بودای حملههایی که بااستفاده از مهندسی اجتماعی صورت میگیرند، روبه افزایش هستند و بهویژه در حملههایی که اهداف مالی را دنبال میکنند، چه درخصوص مؤسسات مالی و چه درخصوص مشتریان، بیشازپیش رواج مییابند.
او مقابله با این تهدیدها را برای مراکز بزرگ آسانتر میداند، زیرا مدیران امنیتی میتوانند تهدید را روی شبکه خود برآورد کرده و بااستفاده از یک سیستم مرکزی آنرا خنثی کنند، اما مشتریان دراین خصوص با مشکل بیشتری مواجه هستند، زیرا تعداد اندکی از کاربران از وجود چنین تهدیدی آگاه هستند و کسانی که به وجود آن واقفند شاید ندانند چه باید بکنند. ادوبی درآن زمان اظهار داشتهبود، مجموعهای از اصلاحیههای امنیتی را برای نرمافزارهای Reader و Acrobat منتشر خواهدکرد، اما درباره انتشار اصلاحیه برای فائق آمدن بر این ایراد سخنی نگفته بود.