研究人员展示了一种新颖的攻击类型,它可以使不良行为者有可能规避现有对策,并破坏数字签名PDF文档的完整性保护。
波鸿鲁尔大学的学者将该技术称为“影子攻击”,该技术使用了“ PDF规范提供的巨大灵活性,因此影子文档保持符合标准”。
这些发现已于昨天在网络和分布式系统安全研讨会(NDSS)上发布,经过测试的29个PDF查看器中有16个(包括Adobe Acrobat,Foxit Reader,Perfect PDF和Okular)容易受到阴影攻击。
为了进行攻击,恶意行为者会创建具有两个不同内容的PDF文档:一个是签名文档的一方所期望的内容,另一个是在PDF签名后显示的一部分隐藏内容。
研究人员概述说:“ PDF的签名者会收到文档,对其进行审核并签名。” “攻击者使用签名的文档,对其进行稍作修改,然后将其发送给受害者。打开签名的PDF后,受害者会检查数字签名是否已成功验证。但是,受害者看到的内容与签名者不同。”
在模拟世界中,攻击等同于在纸质文档中故意留出空白空间,并由有关各方对其进行签名,最终使对手方可以在该空间中插入任意内容。
影子攻击建立在研究人员于2019年2月设计的类似威胁的基础之上,该威胁发现可以在不使签名无效的情况下更改现有签名文档,从而可以伪造PDF文档。
尽管供应商自那时以来已应用安全措施解决了该问题,但这项新研究旨在扩展此攻击模型,从而确定对手可以修改数字签名PDF的可见内容而不会使其签名无效的可能性,前提是他们可以操纵PDF在签名之前。
攻击的核心是利用不会损害签名的“无害” PDF功能,例如允许对PDF(例如,填写表格)和“交互式表格”(例如文本)进行更改的“增量更新”。字段,单选按钮等),将恶意内容隐藏在看似无害的叠加层对象后面,或在签名后直接替换原始内容。
可以使用称为“隐藏和替换”的第三个变体来组合上述方法,并通过简单地更改PDF中的对象引用来修改整个文档的内容。
研究人员说:“攻击者可以构建一个完整的影子文档,从而影响每页甚至页的总数以及其中包含的每个对象的显示方式。”
简而言之,该想法是创建一个表单,该表单在签名前后显示相同的值,但是在攻击者的操纵后一组完全不同的值。
为了测试攻击,研究人员发布了两个新的开源工具,称为PDF-Attacker和PDF-Detector,可用于生成影子文档并在签名前和更改后测试PDF的可操作性。
自从Adobe在2020年5月12日发布的更新中解决了这些漏洞(跟踪为CVE-2020-9592和CVE-2020-9596)。截至2020年12月17日,在29个经过测试的PDF应用程序中,有11个仍未修复。
这不是第一次将PDF安全性纳入考虑范围。研究人员先前已经演示了通过利用PDF规范本身支持的部分加密来提取密码保护的PDF文件内容的方法,以在用户打开该文档后远程泄露内容。
另外,研究人员上个月还发现了另外11个影响PDF标准的漏洞(CVE-2020-28352至CVE-2020-28359,以及从CVE-2020-28410到CVE-2020-28412),这些漏洞可能导致拒绝服务,信息泄露,数据操纵攻击,甚至任意代码执行。
*编译:Domino
*来自:thehackernews