28个桌面PDF查看器应用程序中有15个容易受到新攻击,该攻击使恶意威胁行为者可以修改经过数字签名的PDF文档的内容。
根据德国波鸿大学(Ruhr-University Bochum)的学者本周发表的最新研究报告[ PDF ] ,容易受到攻击的应用程序列表包括Adobe Acrobat Pro,Adobe Acrobat Reader,Perfect PDF,Foxit Reader,PDFelement等。
学者们将这种伪造文件的技术称为 Shadow Attack。
Shadow Attack背后的主要思想是“视图层”的概念,即在PDF文档中彼此重叠的不同内容集。
Shadow Attack是指威胁行为者准备具有不同层次的文档并将其发送给受害者。受害者对文件进行数字签名,并在文件的顶部放置一个良性层,但是当攻击者收到文件时,他们将可见层更改为另一层。
由于该层包含在受害人签署的原始文档中,因此更改该层的可见性不会破坏加密签名,并且使攻击者可以使用具有法律约束力的文档进行恶意操作-例如替换付款收款人或汇款PDF付款订单或更改合同条款。
图片:Mainka等。
根据研究小组的说法,存在Shadow Attack的三种变体:
- 隐藏 -攻击者使用PDF标准的增量更新功能隐藏层时,无需用其他任何东西替换它。
- 替换 -攻击者使用PDF标准的“交互式表单”功能将原始内容替换为修改后的值。
- 隐藏和替换 -攻击者使用原始文档中包含的第二个PDF文档完全替换它时。
图片:Mainka等。
“攻击者可以构建一个完整的影子文档,影响每个页面的显示,甚至影响页面的总数以及其中包含的每个对象的显示。”
研究人员说,Shadow Attack是可能的,因为即使进行数字签名,PDF文档也允许未使用的PDF对象出现在其内容中。
签署文档时删除未使用的PDF对象的PDF查看器应用程序不受“Shadow Attack”的影响。
可用补丁
研究小组表示,他们与CERT-Bund(德国计算机紧急响应小组)合作,联系PDF应用程序制造商报告此新的攻击媒介,并在本周初将其发现发布之前对其进行了修补。
目前使用CVE-2020-9592和CVE-2020-9596标识符来跟踪Shadow Attack。
公司应更新其PDF查看器应用程序,以确保不会对其进行签名的PDF文档进行“Shadow Attack”。
这是同一研究团队第二次为PDF查看器应用程序破坏数字签名。在2019年2月,同一团队在22个桌面PDF查看器应用程序中的21个和七个在线PDF数字签名服务中的五个中打破了数字签名机制,以创建带有假签名的文档。
他们的新Shadow Attack与第一次攻击不同,因为它不会像第一次攻击那样篡改数字签名,而是篡改PDF的内容而不会破坏签名。
此外,同一研究团队还发现了PDFex,该技术可打破27个PDF查看器应用程序的加密并从加密文档内部提取数据。
*编译:Domino
*来自:zdnet