Shadow Attack: Digital signierte PDF-Dateien anfällig für Manipulationen

Forscher der Ruhr-Universität Bochum verändern im Nachhinein die Inhalte signierter Dokumente. 15 von 28 PDF-Viewern erkennen die Änderungen nicht und bestätigen fälschlicherweise die Gültigkeit der Signatur. Betroffen sind Anwendungen wie Adobe Acrobat und Foxit Reader.

Forscher der Ruhr-Universität Bochum haben eine Möglichkeit gefunden, nachträglich Inhalte von digital signierten PDF-Dokumenten zu ändern. Der von ihnen als Shadow Attack bezeichnete Angriff würde es beispielsweise erlauben, zusätzliche Klauseln zu Verträgen hinzuzufügen oder Beträge und Kontoverbindungen zu ändern, nachdem Rechnungen in Unternehmen zur Zahlung freigegeben wurden.

In ihrem Bericht beschreiben die Forscher drei Varianten von Shadow Attack. Von 28 untersuchten PDF-Viewern, darunter auch Anwendungen wie Adobe Acrobat Pro, Adobe Acrobat Reader und Foxit Reader, waren 15 für mindestens eine Variante anfällig. Die betroffenen Hersteller wurden ab Anfang März 2020 in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik informiert.

Shadow Attack Hide (Bild: Ruhr-Universität Bochum)Alle drei Varianten basieren auf Schwachstellen, die die Forscher bereits im Februar 2019 öffentlich gemacht hatten. Damals fanden sie heraus, dass PDF-Anwendungen mögliche Änderungen von signierten PDF-Dokumenten prüfen, um zu entscheiden, ob die Signatur gültig ist. Allerdings werden einige Änderungen als „harmlos“ eingestuft, sodass die Anwendungen keine Warnung ausgeben. Diese „legitimen“ Änderungen lassen sich jedoch benutzen, um den vollständigen Inhalt eines Dokuments zu ändern.

Die drei neuen Angriffsvarianten, die auf dieser Technik aufbauen, heißen Hide, Replace sowie Hide and Replace. Bei Hide verbargen die Forscher hinter einem sichtbaren Element ein unsichtbares Element mit einem zusätzlichen oder einem anderen Inhalt. Replace erlaubt es indes, nachträglich neue Elemente hinzuzufügen. Die neuen Elementen stufen die PDF-Viewer als irrelevant ein. Dazu gehören offenbar Schriftarten, obwohl es darüber möglich ist, beispielsweise Zahlen auszutauschen um Rechnungsbeträge zu verändern.

Hide and Replace fasst beide Varianten zusammen. So waren die Forscher in der Lage, den Inhalt eines Dokuments vollständig durch einen zuvor versteckten Inhalten zu ersetzen.

„Hide and Replace ist die mächtigste Variante, da der Inhalt des gesamten Dokuments ausgetauscht werden kann. Der Angreifer kann ein komplettes Schattendokument erstellen, das die Darstellung jeder einzelnen Seite oder sogar die Gesamtzahl der Seiten sowie jedes darin enthaltenen Objekts beeinflusst“, erklärten die Forscher. „Ein möglicher Nachteil könnte entstehen, wenn während des Signierprozesses unbenutzte Objekte entfernt werden. So könnten die Schattenelemente gelöscht werden, wodurch der zweite Schritt des Angriffs überflüssig würde. Ein Sicherheitsscanner könnte auch die unbenutzten Objekte innerhalb der PDF-Datei erkennen und eine Warnung ausgeben. Derzeit tritt keiner dieser Nachteile auf.“

Inzwischen stehen für die meisten betroffenen Anwendungen Patches zur Verfügung. Sie beseitigen die Schwachstellen mit den Kennungen CVE-2020-9592 und CVE-2020-9596. Für Adobes PDF-Anwendungen stehen sie beispielsweise seit Mai zur Verfügung. Foxit veröffentlichte seine Fixes sogar bereits im April.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Themenseiten: Adobe, PDF, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Shadow Attack: Digital signierte PDF-Dateien anfällig für Manipulationen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *