Forscher der Ruhr-Universität Bochum haben eine Möglichkeit gefunden, nachträglich Inhalte von digital signierten PDF-Dokumenten zu ändern. Der von ihnen als Shadow Attack bezeichnete Angriff würde es beispielsweise erlauben, zusätzliche Klauseln zu Verträgen hinzuzufügen oder Beträge und Kontoverbindungen zu ändern, nachdem Rechnungen in Unternehmen zur Zahlung freigegeben wurden.
In ihrem Bericht beschreiben die Forscher drei Varianten von Shadow Attack. Von 28 untersuchten PDF-Viewern, darunter auch Anwendungen wie Adobe Acrobat Pro, Adobe Acrobat Reader und Foxit Reader, waren 15 für mindestens eine Variante anfällig. Die betroffenen Hersteller wurden ab Anfang März 2020 in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik informiert.
Die drei neuen Angriffsvarianten, die auf dieser Technik aufbauen, heißen Hide, Replace sowie Hide and Replace. Bei Hide verbargen die Forscher hinter einem sichtbaren Element ein unsichtbares Element mit einem zusätzlichen oder einem anderen Inhalt. Replace erlaubt es indes, nachträglich neue Elemente hinzuzufügen. Die neuen Elementen stufen die PDF-Viewer als irrelevant ein. Dazu gehören offenbar Schriftarten, obwohl es darüber möglich ist, beispielsweise Zahlen auszutauschen um Rechnungsbeträge zu verändern.
Hide and Replace fasst beide Varianten zusammen. So waren die Forscher in der Lage, den Inhalt eines Dokuments vollständig durch einen zuvor versteckten Inhalten zu ersetzen.
„Hide and Replace ist die mächtigste Variante, da der Inhalt des gesamten Dokuments ausgetauscht werden kann. Der Angreifer kann ein komplettes Schattendokument erstellen, das die Darstellung jeder einzelnen Seite oder sogar die Gesamtzahl der Seiten sowie jedes darin enthaltenen Objekts beeinflusst“, erklärten die Forscher. „Ein möglicher Nachteil könnte entstehen, wenn während des Signierprozesses unbenutzte Objekte entfernt werden. So könnten die Schattenelemente gelöscht werden, wodurch der zweite Schritt des Angriffs überflüssig würde. Ein Sicherheitsscanner könnte auch die unbenutzten Objekte innerhalb der PDF-Datei erkennen und eine Warnung ausgeben. Derzeit tritt keiner dieser Nachteile auf.“
Inzwischen stehen für die meisten betroffenen Anwendungen Patches zur Verfügung. Sie beseitigen die Schwachstellen mit den Kennungen CVE-2020-9592 und CVE-2020-9596. Für Adobes PDF-Anwendungen stehen sie beispielsweise seit Mai zur Verfügung. Foxit veröffentlichte seine Fixes sogar bereits im April.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…