新的“Shadow Attack”可以替换经过数字签名的PDF文件中的内容

暗影攻击

28个桌面PDF查看器应用程序中有15个容易受到新攻击,该攻击使恶意威胁行为者可以修改经过数字签名的PDF文档的内容。

根据德国波鸿大学(Ruhr-University Bochum)的学者本周发表的最新研究报告[ PDF ] ,容易受到攻击的应用程序列表包括Adobe Acrobat Pro,Adobe Acrobat Reader,Perfect PDF,Foxit Reader,PDFelement等。

shadow-attack-results.png
图片:Mainka等。

学者们将这种伪造文件的技术称为 Shadow Attack

Shadow Attack背后的主要思想是“视图层”的概念,即在PDF文档中彼此重叠的不同内容集。

Shadow Attack是指威胁行为者准备具有不同层次的文档并将其发送给受害者。受害者对文件进行数字签名,并在文件的顶部放置一个良性层,但是当攻击者收到文件时,他们将可见层更改为另一层。

由于该层包含在受害人签署的原始文档中,因此更改该层的可见性不会破坏加密签名,并且使攻击者可以使用具有法律约束力的文档进行恶意操作-例如替换付款收款人或汇款PDF付款订单或更改合同条款。

shadow-attack-layers-check.png
替换Shadow Attack的变体

图片:Mainka等。

根据研究小组的说法,存在Shadow Attack的三种变体:

  • 隐藏 -攻击者使用PDF标准的增量更新功能隐藏层时,无需用其他任何东西替换它。
  • 替换 -攻击者使用PDF标准的“交互式表单”功能将原始内容替换为修改后的值。
  • 隐藏和替换 -攻击者使用原始文档中包含的第二个PDF文档完全替换它时。
shadow-attack-layers.png
Shadow Attack的隐藏与替换变体

图片:Mainka等。

“攻击者可以构建一个完整的影子文档,影响每个页面的显示,甚至影响页面的总数以及其中包含的每个对象的显示。”

研究人员说,Shadow Attack是可能的,因为即使进行数字签名,PDF文档也允许未使用的PDF对象出现在其内容中。

签署文档时删除未使用的PDF对象的PDF查看器应用程序不受“Shadow Attack”的影响。

可用补丁

研究小组表示,他们与CERT-Bund(德国计算机紧急响应小组)合作,联系PDF应用程序制造商报告此新的攻击媒介,并在本周初将其发现发布之前对其进行了修补。

目前使用CVE-2020-9592CVE-2020-9596标识符来跟踪Shadow Attack。

公司应更新其PDF查看器应用程序,以确保不会对其进行签名的PDF文档进行“Shadow Attack”。

这是同一研究团队第二次为PDF查看器应用程序破坏数字签名。在2019年2月,同一团队在22个桌面PDF查看器应用程序中的21个和七个在线PDF数字签名服务中的五个中打破了数字签名机制,以创建带有假签名的文档。

他们的新Shadow Attack与第一次攻击不同,因为它不会像第一次攻击那样篡改数字签名,而是篡改PDF的内容而不会破坏签名。

此外,同一研究团队还发现了PDFex,该技术可打破27个PDF查看器应用程序的加密并从加密文档内部提取数据。

 

*编译:Domino

*来自:zdnet