Forscher demonstrieren 2 neue Hacks zur Modifizierung zertifizierter PDF-Dokumente

Cyber Security News

Cybersecurity-Forscher haben zwei neue Angriffstechniken auf zertifizierte PDF-Dokumente aufgedeckt, die es einem Angreifer möglicherweise ermöglichen, den sichtbaren Inhalt eines Dokuments zu verändern, indem er bösartige Inhalte über den zertifizierten Inhalt einblendet, ohne dessen Signatur ungültig zu machen.

“Die Angriffsidee nutzt die Flexibilität der PDF-Zertifizierung aus, die es erlaubt, zertifizierte Dokumente unter verschiedenen Berechtigungsstufen zu signieren oder mit Anmerkungen zu versehen”, so die Forscher der Ruhr-Universität Bochum, die die Sicherheit der PDF-Spezifikation über die Jahre systematisch analysiert haben.

Die Ergebnisse wurden auf dem 42. IEEE Symposium on Security and Privacy (IEEE S&P 2021) vorgestellt, das diese Woche stattfand.

Die beiden Angriffe – “Evil Annotation” und “Sneaky Signature” genannt – basieren auf der Manipulation des PDF-Zertifizierungsprozesses durch Ausnutzung von Fehlern in der Spezifikation, die die Implementierung digitaler Signaturen (auch bekannt als Genehmigungssignatur) und ihrer flexibleren Variante, der Zertifizierungssignatur, regelt.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Zertifizierungssignaturen erlauben auch verschiedene Teilmengen von Änderungen am PDF-Dokument, basierend auf der vom Zertifizierer festgelegten Berechtigungsstufe, einschließlich der Möglichkeit, Text in bestimmte Formularfelder zu schreiben, Anmerkungen zu machen oder sogar mehrere Signaturen hinzuzufügen.

Der Evil Annotation Attack (EAA) funktioniert, indem er ein certifiziertes Dokument, das für das Einfügen von Anmerkungen vorgesehen ist, so modifiziert, dass es eine Anmerkung mit bösartigem Code enthält, die dann an das Opfer gesendet wird. Die Idee hinter dem Sneaky-Signature-Angriff (SSA) ist hingegen, das Erscheinungsbild zu manipulieren, indem einem Dokument, das das Ausfüllen von Formularfeldern ermöglicht, überlagernde Signaturelemente hinzugefügt werden.

[Blocked Image: https://thehackernews.com/images/-XI939fibAlc/YLH6tRFXbXI/AAAAAAAACrs/F682v-ANSZg5_ZTzYhINC7JWsp_hXCPmQCLcBGAsYHQ/s0/pdf.jpg]

“Durch das Einfügen eines Signaturfeldes kann der Unterzeichner die genaue Position des Feldes und zusätzlich sein Aussehen und seinen Inhalt festlegen”, so die Forscher. “Diese Flexibilität ist notwendig, da jede neue Signatur die Informationen des Unterzeichners enthalten könnte. Die Informationen können eine Grafik, ein Text oder eine Kombination aus beidem sein. Dennoch kann der Angreifer diese Flexibilität missbrauchen, um das Dokument heimlich zu manipulieren und neue Inhalte einzufügen.”

In einem hypothetischen Angriffsszenario, das von den Wissenschaftlern detailliert beschrieben wird, erstellt ein Zertifizierer einen zertifizierten Vertrag mit sensiblen Informationen, wobei er die Option aktiviert, dem PDF-Vertrag weitere Signaturen hinzuzufügen. Unter Ausnutzung dieser Berechtigungen kann ein Angreifer den Inhalt des Dokuments ändern, z. B. um eine internationale Kontonummer (IBAN) unter seiner Kontrolle anzuzeigen und betrügerisch Geld zu überweisen, da das Opfer, das die Manipulation nicht erkennen kann, den manipulierten Vertrag annimmt.

15 von 26 PDF-Anwendungen, die von den Forschern evaluiert wurden, darunter Adobe Acrobat Reader (CVE-2021-28545 und CVE-2021-28546), Foxit Reader (CVE-2020-35931) und Nitro Pro, wurden als anfällig für den EAA-Angriff befunden, der es einem Angreifer ermöglicht, den sichtbaren Inhalt des Dokuments zu verändern. Soda PDF Desktop, PDF Architect und sechs weitere Anwendungen wurden als anfällig für SSA-Angriffe identifiziert.

[Blocked Image: https://thehackernews.com/images/-649dfyPYuIQ/YLH6aK9xw1I/AAAAAAAACrk/Xzd9sALjIm4dVZ3QDGW-sCf5lx7jjCGoACLcBGAsYHQ/s0/pdf-security.jpg]

Noch beunruhigender ist, dass die Studie ergab, dass es möglich ist, hochprivilegierten JavaScript-Code in Adobe Acrobat Pro und Reader auszuführen – z. B. den Benutzer auf eine bösartige Website umzuleiten -, indem man solchen Code über EAA und SSA als inkrementelles Update in das zertifizierte Dokument einschleust. Die Schwachstelle (CVE-2020-24432) wurde von Adobe im Rahmen des Patch Tuesday Updates für November 2020 behoben.

Um solche Angriffe abzuwehren, empfehlen die Forscher, FreeText-, Stamp- und Redact-Anmerkungen zu verbieten sowie sicherzustellen, dass Signaturfelder vor der Zertifizierung an definierten Stellen im PDF-Dokument eingerichtet werden und das nachträgliche Hinzufügen von Signaturfeldern mit einem ungültigen Zertifizierungsstatus zu bestrafen. Die Forscher haben außerdem ein Python-basiertes Dienstprogramm namens PDF-Detector entwickelt, das zertifizierte Dokumente analysiert und verdächtige Elemente im PDF-Dokument hervorhebt.

“Obwohl weder EAA noch SSA den Inhalt selbst verändern können – er bleibt immer im PDF – können Anmerkungen und Signaturfelder als Overlay verwendet werden, um neue Inhalte hinzuzufügen”, so die Forscher. “Opfer, die das PDF öffnen, sind nicht in der Lage, diese Zusätze von regulären Inhalten zu unterscheiden. Und noch schlimmer: Anmerkungen können hochprivilegierten JavaScript-Code einbetten, der in bestimmten zertifizierten Dokumenten hinzugefügt werden darf.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com