Обнаружен новый метод подмены содержимого в подписанных PDF-файлах

Обнаружен новый метод подмены содержимого в подписанных PDF-файлах

Специалисты продемонстрировали три варианта так называемой техники Shadow Attack.

Команда исследователей из Рурского университета в Бохуме (Германия) обнаружила новые методы атак на подписанные PDF-файлы. Так называемая техника Shadow Attack позволяет хакеру скрывать и заменять содержимое в подписанном PDF-документе, не затрагивая цифровую подпись.

Организации, правительственные учреждения, предприятия и частные лица часто подписывают документы в формате PDF для предотвращения несанкционированных изменений. Если кто-то вносит изменения в подписанный документ, подпись становится недействительной.

Эксперты протестировали 28 популярных программ для просмотра документов в формате PDF, 15 из которых оказались уязвимы (CVE-2020-9592 и CVE-2020-9596) к новым атакам. В списке уязвимых приложений оказались Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement и пр. Проблема затрагивает пользователей операционных систем Windows, macOS и Linux.

Специалисты продемонстрировали три варианта Shadow Attack, которые злоумышленники могут использовать для сокрытия или замены содержимого в PDF-файлах.

Первый вариант Shadow Attack включает сокрытие некоторого содержимого в PDF-файле за другим слоем, например, изображением на всю страницу. В продемонстрированном экспертами сценарии атаки злоумышленник отправляет подписавшему документ с изображением привлекательного или неприметного сообщения поверх содержимого, которое он хочет скрыть. После того как документ будет подписан и отправлен обратно злоумышленнику, он сможет манипулировать файлом, чтобы изображение больше не отображалось приложением для просмотра PDF-документов, делая таким образом скрытый контент видимым.

Второй вариант подразумевает добавление в подписанный документ нового объекта, который считается безвредным, но способный повлиять на представление контента. Как пояснили исследователи, изменение шрифтов не меняет содержание напрямую. Тем не менее, это влияет на вид отображаемого контента и позволяет менять местами числа или символы.

Последний вариант, который исследователи назвали самым эффективным, позволяет злоумышленнику изменять весь контент подписанного документа. В рамках данной атаки хакер внедряет скрытый и видимый контент в документ, используя два объекта с одинаковым идентификатором, и отправляет его цели. Мошенник может подложить целый файл, влияющий как на представление каждой страницы или на их общее количество, так и на каждый содержащийся в них объект.

Исследователи совместно с группой реагирования на компьютерные инциденты в Германии CERT-Bund сообщили о своих находках разработчикам приложений для просмотра PDF-файлов. Исправления для уязвимостей были выпущены до того, как эксперты опубликовали подробности.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину