PDF-Funktion “Zertifiziert” weithin anfällig für Angriffe

Cyber Security News

Die Forscher fanden Schwachstellen in den meisten der getesteten ‘populären’ PDF-Anwendungen.

Zertifizierte PDF-Dateien (Portable Document Format) werden verwendet, um Vereinbarungen zwischen zwei Parteien sicher zu unterzeichnen und gleichzeitig die Integrität des Inhalts zu schützen. Ein neuer Bericht fand jedoch heraus, dass die Sicherheitsvorkehrungen der meisten zertifizierten PDF-Anwendungen unzureichend sind und Unternehmen einer Reihe von Angriffen ausgesetzt sind.

Forscher der Ruhr-Universität Bochum erklärten, dass zertifizierte PDFs zwei spezifische Signaturen verwenden, um das Dokument zu authentifizieren: eine Genehmigungssignatur und eine Zertifizierungssignatur. Zertifizierungssignaturen sind die flexibleren und dafür gemacht, komplizierte Vereinbarungen zwischen mehreren Parteien zu handhaben und einige Änderungen am Dokument innerhalb einer Reihe von Parametern zu erlauben, während die Gültigkeit des Dokuments erhalten bleibt.
Es überrascht nicht, dass das Team bei Zertifizierungssignaturen Schwachstellen für zwei spezielle neuartige Angriffe gefunden hat, die sie “Evil Annotation” (EAA) und “Sneaky Signature” (SSA) nannten. Beide erlauben es einem Angreifer, bösartige Inhalte (PDF) über die zertifizierten Informationen zu legen, ohne dass Anzeichen für eine Veränderung erkennbar sind.

Neuartige zertifizierte PDF-Angriffe

EAAs zeigen bösartige Inhalte in den Anmerkungen des Dokuments an und senden es dann mit intakter digitaler Signatur weiter. SSAs fügen bösartige Inhalte über legitime Inhalte im PDF selbst hinzu.

Das Team sagte, die Ergebnisse seiner Auswertung der 26 beliebtesten PDF-Anwendungen seien “alarmierend”.

“In nur 2 Fällen konnten wir keine Schwachstelle finden; 15 Viewer waren anfällig für EAA, 8 für SSA, darunter Adobe, Foxit und LibreOffice”, so der Bericht. “Wir haben zusätzlich die standardkonforme Implementierung von PDF-Zertifizierungsanwendungen analysiert und in 11 von ihnen Probleme gefunden.”

Adobe hatte eine zusätzliche Schwachstelle, die es zertifizierten Dokumenten erlaubte, JavaScript-Code auszuführen, was sie für Code-Injection-Angriffe anfällig machte.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/05/26161319/Evil-Annotation-PDF-Research_10-300x187.jpg]“Ein High-Level-JavaScript kann zum Beispiel eine beliebige URL ohne Benutzerbestätigung aufrufen, um einen Benutzer zu deanonymisieren. Unsere Untersuchungen zeigen, dass solcher Code auch ausgeführt wird, wenn er als erlaubtes inkrementelles Update hinzugefügt wird. Wir sind die ersten, die zeigen, dass dieses Verhalten es Angreifern ermöglicht, bösartigen Code direkt in ein zertifiziertes Dokument einzubetten.

Das Team hat nach eigenen Angaben seine Erkenntnisse an die entsprechenden Hersteller weitergegeben und dem CERT-Bund (BSI) einen umfassenden Schwachstellenbericht inklusive Exploits zur Verfügung gestellt. Der Bericht listet auch die spezifischen zertifizierten PDF-Sicherheitslücken auf, die in jeder Anwendung gefunden wurden.

“Adobe, Foxit und LibreOffice haben schnell reagiert und Patches für Ende 2020 (CVE-2020-35931) oder Anfang 2021 (CVE2021-28545, CVE-2021-28546) bereitgestellt”, heißt es in dem Bericht. “Adobe hat die Code-Injection-Schwachstelle Anfang November 2020 im Rahmen eines Patches außerhalb des regulären Update-Zyklus behoben (CVE-2020-24432). Derzeit beteiligen wir uns über das DIN und die ISO (International Organization for Standardization) am Standardisierungsprozess, um die gemeldeten Angriffe in der nächsten PDF-Spezifikation zu adressieren.”

Zertifizierte PDF-Angriffe stoppen

Um “Evil Annotation Attacks” abzuwehren, empfehlen die Forscher Administratoren, drei besonders riskante Annotationen zu verbieten, die das Hinzufügen von Text oder Bildern zu einem zertifizierten PDF erlauben: “FreeText, Stamp und Redact.”

Sneaky Signatures können zwar durch die Reduzierung von Berechtigungen blockiert werden, aber das ist keine Garantie dafür, dass SSAs nicht durchkommen. Definierte Signaturfelder bieten eine zusätzliche Schutzebene, so der Bericht.

“Signaturfelder müssen an definierten Stellen im PDF-Dokument eingerichtet werden, bevor das Dokument zertifiziert wird”, erklärt der Bericht. “Ein nachträgliches Hinzufügen von Signaturfeldern muss mit einem ungültigen Zertifizierungsstatus geahndet werden. Andernfalls können an jeder beliebigen Stelle Texte oder Bilder hinzugefügt werden, die in der Signatur enthalten sind.”

Adobe JavaScript-Code-Injektionen sind kniffliger, da in den meisten Fällen die Ausführung in dem Moment beginnt, in dem das Dokument geöffnet wird. “Die einzige Voraussetzung ist, dass das Opfer dem Zertifikat, mit dem das PDF-Dokument zertifiziert wurde, voll vertraut”, so der Bericht.

Anfang des Monats veröffentlichte Adobe Acrobat einen Patch für einen Zero-Day-Bug, der auf Windows-Nutzer abzielt. Nur wenige Tage später fanden Forscher von Microsoft Security Intelligence (MSI) heraus, dass PDFs von Angreifern genutzt werden, um das Java-basierte Fernzugriffs-Tool (RAT) StrRAT auszuliefern, das dazu dient, Anmeldeinformationen zu stehlen, Tastatureingaben zu protokollieren und die Fernsteuerung über infizierte Systeme zu übernehmen.

Die Flexibilität, die Certified-Signaturen bieten, stellt für viele Unternehmen ein massives, potenziell katastrophales Sicherheitsrisiko dar, und der Bericht fordert die PDF-Anbieter auf, schnell an der Entwicklung von weitreichenden Abhilfemaßnahmen zu arbeiten.

“Die Forschungsgemeinschaft hat sich mit ähnlichen Problemen bei anderen Datenformaten wie XML oder E-Mail herumgeschlagen, ohne bisher eine zufriedenstellende Lösung zu finden”, so die Autoren. “Im Fall von PDF muss die Spezifikation aktualisiert werden, um diese Probleme zu lösen.”

Schließen Sie sich Threatpost für “A Walk On The Dark Side: A Pipeline Cyber Crisis Simulation” – eine interaktive LIVE-Demo am Mi, 9. Juni um 14:00 Uhr EDT. Finden Sie mit Unterstützung von Immersive Labs heraus, ob Sie über die nötigen Werkzeuge und Fähigkeiten verfügen, um einen Angriff auf Ihr Unternehmen im Stil der Colonial Pipeline zu verhindern. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com