COMPAREX AG
Sandboxing: Was man über die Sicherheitstechnologie von Adobe Acrobat wissen muss

Sandboxing: Was man über die Sicherheitstechnologie von Adobe Acrobat wissen muss

Adobe Acrobat und Adobe Reader sind seit Jahren die Standardsoftware zum Bearbeiten und Betrachten von PDF-Dokumenten. Da mit einem Angriff eine große Anzahl von Nutzern erreicht werden kann, sind sie auch ein beliebtes Ziel für Hacker. Mit dem sogenannten Sandboxing hat Adobe nun eine Technologie implementiert, die die Sicherheit der PDF-Software verbessern soll. Aber wie funktioniert das Prinzip eigentlich und reicht dieser Schutz aus?

Ein Blogbeitrag von Christoph Thodte,  Adobe Experte im Auftrag von COMPAREX

Auch wenn Adobe Acrobat und Adobe Reader Standardsoftware und damit beliebte Angriffsziele sind, heißt das im Umkehrschluss nicht, dass andere PDF-Reader sicherer sind. Aufgrund ihrer geringeren Verbreitung sind sie einfach nicht interessant für einen Angriff. Bei der Betrachtung von Statistiken zu Angriffen ist es immer sinnvoll, diese im Verhältnis zur Anzahl der Installationen zu sehen.

Das manipulierte PDF: So kann ein Angriff auf Adobe Acrobat aussehen

Ein Angriffsszenario sieht typischerweise so aus, dass versucht wird, den Nutzern ein manipuliertes PDF unterzuschieben, z.B. über Mail-Spam. Die PDF-Struktur ist so angepasst, dass sie bestimmte Sicherheitslücken in Acrobat anspricht. Dies kann z.B. zur Folge haben, dass ein Dritter Admin-Rechte auf dem infizierten Gerät erhält und das Gerät zum Absturz bringen kann. Unbemerkt kann in diesem Moment zusätzliche Angriffssoftware installiert werden, um weitere Daten vom infizierten Gerät zu stehlen.

Adobe selbst, aber auch andere Unternehmen und Organisationen, beschäftigen sich mit der Produktsicherheit und ermitteln Schwachstellen, die anschließend durch Sicherheitsupdates geschlossen werden. Der Hersteller sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) veröffentlichen entsprechende Sicherheitswarnungen und Updates für die Vollversion und den Reader.

Unternehmen, die den automatischen Updateprozess deaktiviert haben, sollten eigene Regeln für das Ausrollen dieser Sicherheitsupdates implementieren, um Sicherheitsrisiken zu minimieren.

Das Sandkasten-Spiel: So funktioniert das Sandbox-Prinzip

Durch die kontinuierliche Weiterentwicklung und Verbesserung von Adobe Acrobat müssen jedoch heute wesentlich weniger Updates ausgerollt werden als in der Vergangenheit. Eine Technologie, die zur Verbesserung der Applikationssicherheit implementiert wurde, ist das Sandboxing, zu Deutsch Sandkasten-Prinzip.

Veranschaulichen kann man sich diese Technologie so: Kinder spielen in einem Sandkasten – einem abgeschlossenen System – mit den darin zur Verfügung stehenden Sandspielzeugen, den PDF-Dokumenten. Das Spielzeug ist außerhalb des Sandkastens wertlos und kann ohne Sand – den zur Verfügung stehenden Ressourcen des Systems – nicht benutzt werden. Möchte das Kind etwas von außerhalb mit in den Sandkasten nehmen, ist ein Elternteil – die übergeordnete Instanz / das Betriebssystem – notwendig, der diesen Gegenstand – die angeforderte Ressource – von außen in den Sandkasten gibt, nachdem er entschieden hat, dass das Kind damit spielen darf – also eine Berechtigung erteilt hat.

Überträgt man dieses Szenario ins Technische, so ist die Sandbox eine Ablaufumgebung, die den darin ablaufenden Prozessen festgelegte Rechte zuteilt. Auf Basis dieser Rechte werden entsprechende Aufgaben erfüllt, wie z.B. PDF darstellen, PDF-Formular ausfüllen, Daten aus dem Internet laden usw. Benötigt ein Prozess darüber hinausgehende Rechte zum Zugriff auf Ressourcen (Netzwerk, Festplatte o.ä.) startet ein sogenannter Brokerprozess, der entscheidet, ob dieser Zugriff erlaubt wird oder nicht. Der anfordernde Prozess besitzt nur sehr eingeschränkte Rechte. Es sollten nur die Rechte vorhanden sein, die für die zu erledigende Aufgabe nötig sind. Der Prozess in der Sandbox kann nicht direkt mit den Systemressourcen außerhalb der Sandbox kommunizieren, sondern nur über den Brokerprozess, der den Zugriff zunächst auf Zulässigkeit prüft.

Adobe Acrobat: Das Sandboxing-Prinzip

Das Sandkasten-Prinzip, Quelle: Adobe

Geschützter Modus vs. Geschützte Ansicht: Sandboxing in Adobe Reader und Adobe Acrobat

Im Adobe Reader ist der “Geschützte Modus” umgesetzt. Dieser schränkt den Zugriff des Programms auf die Systemressourcen stark ein. Es sind keine Nutzeraktionen nötig, da das System im aktivierten Zustand autark arbeitet. Für jedes PDF-Dokument wird ein eigener Prozess zur Anzeige genutzt. Das System arbeitet sehr eng mit den Windows-Betriebssystemen zusammen, indem es die dort zur Verfügung gestellten Sicherheitskonzepte nutzt.

In der Vollversion Adobe Acrobat, die das Bearbeiten von Dokumenten ermöglicht und somit mehr Zugriffsrechte auf das System benötigt, ist die „Geschütze Ansicht“ implementiert. Dabei wird davon ausgegangen, dass jedes PDF-Dokument potentiell unsicher ist. Dies wird durch einen Hinweis in der Anwendung kenntlich gemacht. Das Dokument ist nur lesend verfügbar. Der Nutzer kann das Dokument als vertrauenswürdig einstufen und somit weitere Rechte für das Dokument freischalten.

Weitere Sicherheitsaspekte: Darauf sollte außerdem geachtet werden

Das Sandbox-Prinzip ist nur ein Baustein, um Angriffe auf die PDF-Software Adobe Acrobat zu verhindern und die Applikationssicherheit zu verbessern. Weitere, in der Software bereits enthaltene, Sicherheitsbausteine sind:

  • Deaktivierung von JavaScript (interaktive Funktionen in einem PDF)
  • Konfiguration der vertrauenswürdigen Quellen
  • Konfiguration der Sicherheitsaspekte durch Admins in Unternehmensumgebungen
  • Data Execution Prevention (DEP)
  • Address Space Layout Randomization (ASLR)

Taugt die Software Adobe Acrobat? Ein Fazit

Trotz möglicher Schwachstellen können Sie meines Erachtens der Software Adobe Acrobat vertrauen. In meiner langjährigen Tätigkeit als technischer Consultant für Technologien von Adobe habe ich die Entwicklung von Acrobat, aber auch anderer PDF-Tools, intensiv verfolgt. Mindestens seit Acrobat X mit der Sandbox hat sich gezeigt, dass die neue Herangehensweise zu einer deutlichen Abnahme von nicht geplanten Sicherheitsupdates seitens Adobe geführt hat. Zusätzlich wurden die erforderlichen Sicherheitsupdates in Acrobat nochmals reduziert durch den Ausschluss des Adobe Flash Players (seit Acrobat XI), der jetzt unabhängig verteilt werden muss.

Um auf den aktuellen Stand der Sandboxing-Technologie zuzugreifen, müssen Sie eine von Adobe technisch unterstützte Version von Adobe Acrobat im Einsatz haben. Welche dies aktuell sind, sehen Sie hier.

Unsere Web-Tipps

Adobe Product Security Incident Response Team (PSIRT) Blog 
• Application Security Overview
• Video: Sicherheit mit Acrobat XI und Reader XI
• Update Historie

Sie möchten mehr über die Sicherheitstechnologien in Adobe Acrobat wissen?

Sie wünschen eine detaillierte Beratung zu Adobe Acrobat? Tobias Hübner hilft Ihnen weiter. Rufen Sie ihn gern oder schreiben Sie ihm eine E-Mail.

COMPAREX AG

Tobias Hübner
Business Development Manager Adobe

Blochstraße 1
04329 Leipzig
Deutschland

+49 3412568 656

Tobias Hübner

Diesen Artikel teilen

Artikel vom:
28.03.2017

geschrieben von:

TAGS:
Adobe Acrobat, Sandboxing

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben