据The Hacker News 2月23日报道,研究人员最新展示了一类新型PDF在文档攻击中,攻击者可以在确保文档数字签名有效的前提下隐藏、篡改或更换文档内容。常见的操作包括更换收款人、付款订单或更改合同条款。
德国波鸿鲁尔大学的学者称这种攻击技术为“影子攻击”,它的主要攻击原理是“视图层”概念,即在PDF文档中重叠的不同内容集。“PDF灵活的技术规范使影子文件在标准合规范围内运行”。
2月22日,在 *** 和分布式系统安全研讨会上(NDSS)上发表。在测试的29个PDF16个阅读器容易受到影子攻击-,包括Adobe Acrobat、Foxit Reader、Perfect PDF和Okular。
研究小组表示,影子攻击有三个变体:
- 隐藏:攻击者使用PDF本规范中的增量更新功能隐藏了一层内容。
- 替换:攻击者使用PDF规范中的“交互式表单”该功能用修改后的内容替换原始内容。
- 隐藏和替换:攻击者使用原始文档中包含的第二个PDF完全替换文档。
攻击者将在攻击中创建一个内容不同的内容PDF文档:一种是文档签署人所期望的内容,另一种是文档签署后显示隐藏内容。
“PDF签署人收到文件后,将进行常规审查和签署,”研究人员解释,“攻击者在获得签署文件后稍微篡改并发送给受害者。受害者将检查数字签名是否在收到文件后成功验证,但受害者看到的是篡改后的内容。”
在模拟世界中,攻击相当于故意在纸质文在纸质文件中,让相关方签署,攻击者可以将任何内容插入空间。
研究小组补充说,隐藏和替换是最有害的变体攻击,因为它可以替换整个文档的内容。“攻击者可以建立一个完整的影子文档,影响每个页面的呈现,甚至页面的总页数和每个内容的显示。”
攻击的关键是不使签名无效PDF例如,允许对原始功能PDF进行修改的“增量更新”功能(如填表)和“交互式表格”功能(如文本字段、单选按钮等),在看似无害的覆盖对象后面隐藏恶意内容,或在签署后直接替换原始内容。
简单地说,这个想法是创建一种形式,它在签署前后显示相同的内容,但攻击者篡改后会显示一组完全不同的内容。
研究人员发布了两种新的开源工具来测试攻击PDF-Attacker和PDF-Detector。这两种工具可用于生成影子文件,并在签署前和修改后检测篡改文件。
影子攻击中使用的漏洞被跟踪编码CVE-2020-9592和CVE-2020-9596,Adobe威胁解决在2020年5月12日发布的更新中。但截至2020年12月17日,已有29次测试PDF阅读器中有11个仍未修复。
据报道,影子攻击是基于2019年2月研究人员设计的类似威胁。当时,研究人员发现,这种威胁可以在确保有效签名的前提下修改文件,以伪造PDF文档成为可能。
虽然制造商采取了安全措施来修复这个问题,但新的研究旨在扩大攻击模型,以确认攻击者是否可以在确保有效签名的前提下修改文档的可见内容。
这并不是PDF之一次关注安全问题。研究人员此前已经展示过提取密码保护PDF使用文档的 *** PDF一旦用户打开文档,标准化支持的部分加密技术就可以远程渗出内容。
此外,研究人员上个月发现了另一组影响PDF11个标准漏洞(CVE-2020-28352至CVE-2020-28359以及CVE-2020-28410至CVE-2020-28412),这些漏洞可能导致拒绝访问、信息泄露、数据操纵攻击,甚至执行任意代码。