Обнаружен новый метод подмены содержимого в подписанных PDF-файлах
24 июля 2020 года
Команда исследователей из Рурского университета в Бохуме (Германия) обнаружила новые методы атак на подписанные PDF-файлы. Так называемая техника Shadow Attack позволяет хакеру скрывать и заменять содержимое в подписанном PDF-документе, не затрагивая цифровую подпись.
Организации, правительственные учреждения, предприятия и частные лица часто подписывают документы в формате PDF для предотвращения несанкционированных изменений. Если кто-то вносит изменения в подписанный документ, подпись становится недействительной.
Эксперты протестировали 28 популярных программ для просмотра документов в формате PDF, 15 из которых оказались уязвимы (CVE-2020-9592 и CVE-2020-9596) к новым атакам. В списке уязвимых приложений оказались Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement и пр. Проблема затрагивает пользователей операционных систем Windows, macOS и Linux.
Специалисты продемонстрировали три варианта Shadow Attack, которые злоумышленники могут использовать для сокрытия или замены содержимого в PDF-файлах.
Первый вариант Shadow Attack включает сокрытие некоторого содержимого в PDF-файле за другим слоем, например, изображением на всю страницу. В продемонстрированном экспертами сценарии атаки злоумышленник отправляет подписавшему документ с изображением привлекательного или неприметного сообщения поверх содержимого, которое он хочет скрыть. После того как документ будет подписан и отправлен обратно злоумышленнику, он сможет манипулировать файлом, чтобы изображение больше не отображалось приложением для просмотра PDF-документов, делая таким образом скрытый контент видимым.
Второй вариант подразумевает добавление в подписанный документ нового объекта, который считается безвредным, но способный повлиять на представление контента. Как пояснили исследователи, изменение шрифтов не меняет содержание напрямую. Тем не менее, это влияет на вид отображаемого контента и позволяет менять местами числа или символы.
Последний вариант, который исследователи назвали самым эффективным, позволяет злоумышленнику изменять весь контент подписанного документа. В рамках данной атаки хакер внедряет скрытый и видимый контент в документ, используя два объекта с одинаковым идентификатором, и отправляет его цели. Мошенник может подложить целый файл, влияющий как на представление каждой страницы или на их общее количество, так и на каждый содержащийся в них объект.
Исследователи совместно с группой реагирования на компьютерные инциденты в Германии CERT-Bund сообщили о своих находках разработчикам приложений для просмотра PDF-файлов. Исправления для уязвимостей были выпущены до того, как эксперты опубликовали подробности.
Источники править
Эта статья содержит материалы из статьи «Обнаружен новый метод подмены содержимого в подписанных PDF-файлах», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.