Эксперты описали две атаки, позволяющие
перекрывать оригинальное содержимое в защищенных сертификатами PDF-документах. Потенциальные жертвы видят новый
контент и не видят информации об изменениях.
Слишком многое можно поменять
Эксперты из Рурского
университета в Бохуме (Германия) продемонстрировали сразу два способа подменять
отображаемое содержимое PDF-документов, защищенных сертификатами безопасности.
«Идея атаки эксплуатирует
гибкость сертификации PDF, позволяющей подписывать и добавлять аннотации к сертифицированным
документам под разными уровнями разрешений», — говорится в публикации
исследователей.
Атак на самом деле две: Evil Annotation («Злонамеренное
аннотирование») и Sneaky Signature («Скользкая подпись»). Обе сводятся к
манипулированию процессом сертификации PDF и используют слабые места в реализации цифровых
подписей для таких документов.
В частности, подписи на
основе сертификатов (Certification signatures) позволяют вносить различные модификации, в
зависимости от уровня разрешений, установленных удостоверителем. Эти
модификации могут включать возможность вписывать текст в определенные поля
форм, добавлять аннотации или даже множественные подписи.
«Злонамеренное
аннотирование» подразумевает добавление к документу, направляемому потенциальной
жертве, аннотаций, содержащих вредоносный код. В свою очередь, «Скользкая
подпись» подразумевает подмену значений в определенных полях поверх исходных
величин. Так, например, в исходном документе обозначена цена той или иной
услуги в $10, а в модифицированном количество нулей в том же поле оказывается в
семь раз больше.
Каждая модификация должна
быть сертифицирована новой подписью, однако у злоумышленника есть возможность
прятать свою подпись за пределами видимой области, так что возникает иллюзия,
будто никаких несанкционированных изменений в документ не вносили.
Исследователи отмечают,
что у злоумышленников есть возможность подменять значения в самых разных полях.
Теоретически есть возможность подсовывать жертвам контракты с подменными
реквизитами банковских счетов, и эти реквизиты будут выглядеть совершенно
легитимно.
Смысл сертификации
Из 26 приложений для
работы с PDF,
проанализированных исследователями, 15 оказались уязвимыми перед атакой Evil Annotation. В их числе Adobe Acrobat Reader, Foxit Reader и Nitro Pro. Все они допускали перекрытие оригинального контента подменным.
Еще шесть приложений, в
том числе Soda PDF Desktop и PDF Architect уязвимы перед Sneaky Signature.
Выяснилось также, что с
помощью таких атак можно интегрировать в документ код Java Script, например, для переадресации пользователя на
вредоносный сайт. Эта уязвимость затрагивала Adobe Acrobat Pro и Reader (CVE-2020-24432). Adobe внесла соответствующие изменения в свои продукты
в ноябре 2020 г.
Для противодействия
описанным атакам эксперты советуют запретить использовать такие функции как FreeText, Stamp и Redact, а также настроить документ так, чтобы любые
изменения в полях форм уже сертифицированного документа приводили к
аннулированию сертификата.
«Возможность перекрывать
значения определенных полей по факту тождественно возможности менять само
содержимое сертифицированного документа, по крайней мере, для конечных его
получателей, — отмечает Анастасия
Мельникова, эксперт по информационной безопасности компании SEC Consult
Services. — Это делает практически бесполезным присвоение ему сертификата,
который должен служить залогом неизменности документа. Остается надеяться на
скорое внесение соответствующих изменений во все приложения для работы с PDF».
