Výskumníci demonštrujú 2 Nové hacky na úpravu certifikovaných dokumentov PDF

Výskumníci v oblasti kybernetickej bezpečnosti odhalili dve nové techniky útoku na certifikované dokumenty PDF, ktoré by mohli potenciálne umožniť útočníkovi zmeniť viditeľný obsah dokumentu zobrazením škodlivého obsahu nad certifikovaným obsahom bez toho, aby došlo k znehodnoteniu jeho podpisu.

„Myšlienka útoku využíva flexibilitu certifikácie PDF, ktorá umožňuje podpisovanie alebo pridávanie anotácií k certifikovaným dokumentom pod rôznymi úrovňami povolení,“ uviedli výskumníci z Ruhr-University Bochum, ktorí v priebehu rokov systematicky analyzovali bezpečnosť špecifikácie PDF.

Zistenia boli prezentované na 42. sympóziu IEEE o bezpečnosti a súkromí (IEEE S&P 2021), ktoré sa konalo tento týždeň.

Dva útoky – nazývané útoky Evil Annotation a Sneaky Signature – závisia od manipulácie procesu certifikácie PDF využívaním nedostatkov v špecifikácii, ktorá riadi implementáciu digitálnych podpisov (aka schvaľovacích podpisov) a ich flexibilnejšej varianty nazývanej certifikačné podpisy.

Certifikačné podpisy tiež umožňujú rôzne podmnožiny úprav na dokumente PDF na základe úrovne oprávnení nastavenej certifikátorom, vrátane možnosti písať text do špecifických polí formulára, poskytovať anotácie alebo dokonca pridávať viaceré podpisy.

Útok Evil Annotation Attack (EAA) funguje tak, že upraví certifikovaný dokument, ktorý umožňuje vkladať anotácie tak, aby obsahovali anotáciu obsahujúcu škodlivý kód, ktorá je potom odoslaná obeti. Na druhej strane, myšlienkou útoku Sneaky Signature (SSA) je manipulovať so vzhľadom pridaním prekrývajúcich prvkov podpisu do dokumentu, ktorý umožňuje vyplnenie polí formulára.

“Vložením podpisového poľa môže podpisovateľ definovať presnú polohu poľa a navyše jeho vzhľad a obsah,” povedali výskumníci. “Táto flexibilita je potrebná, pretože každý nový podpis môže obsahovať informácie o podpisovateľovi.” Informácia môže byť grafika, text alebo kombinácia oboch. Útočník však môže zneužiť flexibilitu na tajnú manipuláciu s dokumentom a vloženie nového obsahu.“

V hypotetickom scenári útoku, ktorý akademici podrobne opísali, certifikátor vytvorí certifikovanú zmluvu s citlivými informáciami a zároveň umožní možnosť pridať ďalšie podpisy do zmluvy PDF. Využitím týchto povolení môže útočník upraviť obsah dokumentu, napríklad tak, aby sa mu zobrazilo medzinárodné číslo bankového účtu (IBAN), ktoré má pod kontrolou, a podvodne prevedie finančné prostriedky, pretože obeť, ktorá nedokáže odhaliť manipuláciu, akceptuje sfalšované zmluvy.

Zistilo sa, že 15 z 26 aplikácií PDF vyhodnotených výskumníkmi, vrátane Adobe Acrobat Reader (CVE-2021-28545 a CVE-2021-28546), Foxit Reader (CVE-2020-35931) a Nitro Pro, bolo zraniteľných voči útoku EAA, umožniť útočníkovi zmeniť viditeľný obsah v dokumente. Soda PDF Desktop, PDF Architect a šesť ďalších aplikácií boli identifikované ako citlivé na útoky SSA.

Čo je znepokojujúcejšie, štúdia odhalila, že je možné spustiť vysoko privilegovaný kód JavaScript – napr. presmerovať používateľa na škodlivú webovú stránku – v programoch Adobe Acrobat Pro a Reader prepašovaním takéhoto kódu cez EAA a SSA ako prírastkovú aktualizáciu certifikovaného dokumentu. Slabosť (CVE-2020-24432) riešila spoločnosť Adobe v rámci svojej aktualizácie Patch Tuesday na november 2020.

Na odvrátenie takýchto útokov výskumníci odporúčajú zakázať anotácie FreeText, Stamp a Redact, ako aj zabezpečiť, aby sa podpisové polia nastavili na definovaných miestach v dokumente PDF pred certifikáciou, spolu s penalizáciou akéhokoľvek následného pridávania podpisových polí neplatnou certifikáciou. postavenie. Výskumníci tiež vytvorili pomôcku založenú na Pythone s názvom PDF-Detector, ktorá analyzuje certifikované dokumenty, aby zvýraznila všetky podozrivé prvky nájdené v dokumente PDF.

„Aj keď ani EAA, ani SSA nemôžu zmeniť samotný obsah – vždy zostáva v PDF – anotácie a polia podpisov možno použiť ako prekrytie na pridanie nového obsahu,“ uviedli vedci. “Obete, ktoré otvárajú PDF, nedokážu rozlíšiť tieto pridania od bežného obsahu. A čo je ešte horšie: anotácie môžu vložiť vysoko privilegovaný kód JavaScript, ktorý je povolené pridávať do určitých certifikovaných dokumentov.”