Categories: Sicherheit

Shadow Attack: Digital signierte PDF-Dateien anfällig für Manipulationen

Forscher der Ruhr-Universität Bochum haben eine Möglichkeit gefunden, nachträglich Inhalte von digital signierten PDF-Dokumenten zu ändern. Der von ihnen als Shadow Attack bezeichnete Angriff würde es beispielsweise erlauben, zusätzliche Klauseln zu Verträgen hinzuzufügen oder Beträge und Kontoverbindungen zu ändern, nachdem Rechnungen in Unternehmen zur Zahlung freigegeben wurden.

In ihrem Bericht beschreiben die Forscher drei Varianten von Shadow Attack. Von 28 untersuchten PDF-Viewern, darunter auch Anwendungen wie Adobe Acrobat Pro, Adobe Acrobat Reader und Foxit Reader, waren 15 für mindestens eine Variante anfällig. Die betroffenen Hersteller wurden ab Anfang März 2020 in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik informiert.

Alle drei Varianten basieren auf Schwachstellen, die die Forscher bereits im Februar 2019 öffentlich gemacht hatten. Damals fanden sie heraus, dass PDF-Anwendungen mögliche Änderungen von signierten PDF-Dokumenten prüfen, um zu entscheiden, ob die Signatur gültig ist. Allerdings werden einige Änderungen als „harmlos“ eingestuft, sodass die Anwendungen keine Warnung ausgeben. Diese „legitimen“ Änderungen lassen sich jedoch benutzen, um den vollständigen Inhalt eines Dokuments zu ändern.

Die drei neuen Angriffsvarianten, die auf dieser Technik aufbauen, heißen Hide, Replace sowie Hide and Replace. Bei Hide verbargen die Forscher hinter einem sichtbaren Element ein unsichtbares Element mit einem zusätzlichen oder einem anderen Inhalt. Replace erlaubt es indes, nachträglich neue Elemente hinzuzufügen. Die neuen Elementen stufen die PDF-Viewer als irrelevant ein. Dazu gehören offenbar Schriftarten, obwohl es darüber möglich ist, beispielsweise Zahlen auszutauschen um Rechnungsbeträge zu verändern.

Hide and Replace fasst beide Varianten zusammen. So waren die Forscher in der Lage, den Inhalt eines Dokuments vollständig durch einen zuvor versteckten Inhalten zu ersetzen.

„Hide and Replace ist die mächtigste Variante, da der Inhalt des gesamten Dokuments ausgetauscht werden kann. Der Angreifer kann ein komplettes Schattendokument erstellen, das die Darstellung jeder einzelnen Seite oder sogar die Gesamtzahl der Seiten sowie jedes darin enthaltenen Objekts beeinflusst“, erklärten die Forscher. „Ein möglicher Nachteil könnte entstehen, wenn während des Signierprozesses unbenutzte Objekte entfernt werden. So könnten die Schattenelemente gelöscht werden, wodurch der zweite Schritt des Angriffs überflüssig würde. Ein Sicherheitsscanner könnte auch die unbenutzten Objekte innerhalb der PDF-Datei erkennen und eine Warnung ausgeben. Derzeit tritt keiner dieser Nachteile auf.“

Inzwischen stehen für die meisten betroffenen Anwendungen Patches zur Verfügung. Sie beseitigen die Schwachstellen mit den Kennungen CVE-2020-9592 und CVE-2020-9596. Für Adobes PDF-Anwendungen stehen sie beispielsweise seit Mai zur Verfügung. Foxit veröffentlichte seine Fixes sogar bereits im April.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago