Хакеры научились подменять содержимое защищенных PDF-документов, не нарушая цифровой подписи


Эксперты описали две атаки, позволяющие
перекрывать оригинальное содержимое в защищенных сертификатами PDF-документах. Потенциальные жертвы видят новый
контент и не видят информации об изменениях.

Слишком многое можно поменять

Эксперты из Рурского
университета в Бохуме (Германия) продемонстрировали сразу два способа подменять
отображаемое содержимое PDF-документов, защищенных сертификатами безопасности.

«Идея атаки эксплуатирует
гибкость сертификации PDF, позволяющей подписывать и добавлять аннотации к сертифицированным
документам под разными уровнями разрешений», — говорится в публикации
исследователей.

Атак на самом деле две: Evil Annotation («Злонамеренное
аннотирование») и Sneaky Signature («Скользкая подпись»). Обе сводятся к
манипулированию процессом сертификации PDF и используют слабые места в реализации цифровых
подписей для таких документов.

Уязвимости в реализации PDF позволяют подменять часть содержимого в защищенных документах

В частности, подписи на
основе сертификатов (Certification signatures) позволяют вносить различные модификации, в
зависимости от уровня разрешений, установленных удостоверителем. Эти
модификации могут включать возможность вписывать текст в определенные поля
форм, добавлять аннотации или даже множественные подписи.

«Злонамеренное
аннотирование» подразумевает добавление к документу, направляемому потенциальной
жертве, аннотаций, содержащих вредоносный код. В свою очередь, «Скользкая
подпись» подразумевает подмену значений в определенных полях поверх исходных
величин. Так, например, в исходном документе обозначена цена той или иной
услуги в $10, а в модифицированном количество нулей в том же поле оказывается в
семь раз больше.

Каждая модификация должна
быть сертифицирована новой подписью, однако у злоумышленника есть возможность
прятать свою подпись за пределами видимой области, так что возникает иллюзия,
будто никаких несанкционированных изменений в документ не вносили.

Исследователи отмечают,
что у злоумышленников есть возможность подменять значения в самых разных полях.
Теоретически есть возможность подсовывать жертвам контракты с подменными
реквизитами банковских счетов, и эти реквизиты будут выглядеть совершенно
легитимно.

Смысл сертификации

Из 26 приложений для
работы с PDF,
проанализированных исследователями, 15 оказались уязвимыми перед атакой Evil Annotation. В их числе Adobe Acrobat Reader, Foxit Reader и Nitro Pro. Все они допускали перекрытие оригинального контента подменным.

Еще шесть приложений, в
том числе Soda PDF Desktop и PDF Architect уязвимы перед Sneaky Signature.

Выяснилось также, что с
помощью таких атак можно интегрировать в документ код Java Script, например, для переадресации пользователя на
вредоносный сайт. Эта уязвимость затрагивала Adobe Acrobat Pro и Reader (CVE-2020-24432). Adobe внесла соответствующие изменения в свои продукты
в ноябре 2020 г.

Для противодействия
описанным атакам эксперты советуют запретить использовать такие функции как FreeText, Stamp и Redact, а также настроить документ так, чтобы любые
изменения в полях форм уже сертифицированного документа приводили к
аннулированию сертификата.

«Возможность перекрывать
значения определенных полей по факту тождественно возможности менять само
содержимое сертифицированного документа, по крайней мере, для конечных его
получателей, — отмечает Анастасия
Мельникова
, эксперт по информационной безопасности компании SEC Consult
Services. — Это делает практически бесполезным присвоение ему сертификата,
который должен служить залогом неизменности документа. Остается надеяться на
скорое внесение соответствующих изменений во все приложения для работы с PDF».

Роман Георгиев

Короткая ссылка

Сохранить себе?
Сохраните себе

Сейчас читают

Рекомендации для Вас

Электронная Москва

Copyright © 2018-2021 , Электронная Москва

Scroll Up