登陆 注册

新的“阴影攻击”可以取代数字签名PDF文件中的内容

Lzers 2020-07-24 安全快讯

在28个桌面PDF查看器应用程序中,有15个容易受到新的攻击,这种攻击会让恶意威胁参与者修改数字签名PDF文档的内容。

根据最新研究,易受攻击的应用包括AdobeAcrobatPro、AdobeAcrobatReader、PerfordPDF、FoxitReader、PDFElement等。PDF]本周由德国波鸿鲁尔大学的学者出版。

图片:Mainka等人。

学者们将这种伪造文件的技术命名为a阴影攻击.

阴影攻击背后的主要思想是“视图层”的概念--不同的内容集,它们相互覆盖在PDF文档中。

阴影攻击是当威胁参与者准备一个具有不同层的文档并将其发送给受害者时。受害者以数字方式签署文档,上面有一个良性层,但是当攻击者接收到它时,他们会将可见层更改为另一层。

由于该层包含在受害者签署的原始文档中,因此更改该层的可见性不会破坏加密签名,并允许攻击者将具有法律约束力的文档用于恶意行为--例如替换PDF支付订单中的付款收件人或SUM或更改合同条款。

替换阴影攻击的变体图片:Mainka等人。

根据研究小组的说法,影子攻击有三种变体:

  • -当攻击者使用PDF标准的增量更新功能隐藏一个层时,而不使用任何其他内容。

  • 取代

    -当攻击者使用PDF标准的InteractiveForms功能用修改后的值替换原始内容时。

  • 捉迷藏

    -当攻击者使用原始文档中包含的第二个PDF文档来完全替换它时。

阴影攻击的隐藏和替换变体

图片:Mainka等人。

“隐藏和替换攻击变体是最强大的,因为整个文件的内容可以交换,”研究小组说。

“攻击者可以构建一个完整的影子文档,影响每个页面的显示,甚至影响页面总数,以及其中包含的每个对象。”

研究人员说,阴影攻击是可能的,因为PDF文档,即使是数字签名,也允许未使用的PDF对象出现在它们的内容中。

PDF查看器应用程序在签署文档时删除未使用的PDF对象可以免受阴影攻击。

已提供修补程序

该研究小组表示,他们与德国计算机应急小组(CERT-Bund)合作,与PDF应用制造商联系,报告这一新的攻击载体,并在本周早些时候公布研究结果之前对其进行修补。

控件当前跟踪影子攻击。CVE-2020-9592CVE-2020-9596标识符。

公司应该更新他们的PDF浏览器应用程序,以确保他们签署的PDF文档不会通过阴影攻击被篡改。

这是这个研究小组第二次破坏PDF查看器应用程序的数字签名。2019年2月同样的团队打破了在22个桌面PDF查看程序中的21个应用程序和7个在线PDF数字签名服务中的5个创建带有假签名的文档的数字签名机制。

他们的新阴影攻击不同于他们的第一次攻击,因为它不篡改数字签名,作为第一次攻击,而是使用PDF的内容而不破坏签名。

此外,同一研究小组还发现PDFex,一种技术,用于破解27个PDF查看器应用程序的加密,并从加密文档中提取数据。

文章来源:ZDNet


请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.