Investigadores demuestran 2 nuevos trucos para modificar documentos PDF certificados

Investigadores de seguridad cibernética han revelado dos nuevas técnicas de ataque en documentos PDF certificados que podrían permitir que un atacante altere el contenido visible de un documento al mostrar contenido malicioso sobre el contenido certificado sin invalidar su firma.

«La idea del ataque explota la flexibilidad de la certificación PDF, que permite firmar o agregar anotaciones a documentos certificados bajo diferentes niveles de permiso», dijeron investigadores de la Ruhr-University Bochum, que han analizado sistemáticamente la seguridad de la especificación PDF a lo largo de los años.

Los hallazgos se presentaron en el 42º Simposio IEEE sobre Seguridad y Privacidad (IEEE S&P 2021) que se celebró esta semana.

Los dos ataques, denominados Evil Annotation y Sneaky Signature, dependen de la manipulación del proceso de certificación de PDF al explotar fallas en la especificación que rige la implementación de firmas digitales (también conocida como firma de aprobación) y su variante más flexible llamada firmas de certificación.

Las firmas de certificación también permiten diferentes subconjuntos de modificaciones en el documento PDF según el nivel de permiso establecido por el certificador, incluida la capacidad de escribir texto en campos de formulario específicos, proporcionar anotaciones o incluso agregar varias firmas.

Evil Annotation Attack (EAA) funciona mediante la modificación de un documento certificado que se proporciona para insertar anotaciones para incluir una anotación que contiene código malicioso, que luego se envía a la víctima. Por otro lado, la idea detrás del ataque Sneaky Signature (SSA) es manipular la apariencia agregando elementos de firma superpuestos a un documento que permite completar campos de formulario.

“Al insertar un campo de firma, el firmante puede definir la posición exacta del campo y, además, su apariencia y contenido, dijeron los investigadores.” Esta flexibilidad es necesaria ya que cada nueva firma podría contener la información del firmante. La información puede ser un gráfico, un texto o una combinación de ambos. Sin embargo, el atacante puede hacer un mal uso de la flexibilidad para manipular sigilosamente el documento e insertar contenido nuevo».

En un escenario de ataque hipotético detallado por los académicos, un certificador crea un contrato certificado con información confidencial mientras habilita la opción de agregar más firmas al contrato PDF. Al aprovechar estos permisos, un atacante puede modificar el contenido del documento, por ejemplo, para mostrar un Número de cuenta bancaria internacional (IBAN) bajo su control y transferir fondos de manera fraudulenta, ya que la víctima, incapaz de detectar la manipulación, acepta la manipulación. contrato.

15 de las 26 aplicaciones PDF evaluadas por los investigadores, incluidas Adobe Acrobat Reader (CVE-2021-28545 y CVE-2021-28546), Foxit Reader (CVE-2020-35931) y Nitro Pro, se encontraron vulnerables al ataque EAA. permitir que un atacante cambie el contenido visible en el documento. Soda PDF Desktop, PDF Architect y otras seis aplicaciones fueron identificadas como susceptibles a ataques SSA.

Lo que es más preocupante, el estudio reveló que es posible ejecutar código JavaScript con muchos privilegios, por ejemplo, redirigir al usuario a un sitio web malicioso, en Adobe Acrobat Pro y Reader introduciendo dicho código a través de EAA y SSA como una actualización incremental del documento certificado. Adobe solucionó la vulnerabilidad (CVE-2020-24432) como parte de su actualización Patch Tuesday de noviembre de 2020.

Para defenderse de tales ataques, los investigadores recomiendan prohibir las anotaciones FreeText, Stamp y Redact, así como asegurarse de que los campos de firma estén configurados en ubicaciones definidas en el documento PDF antes de la certificación, además de penalizar cualquier adición posterior de campos de firma con una certificación no válida. estado. Los investigadores también crearon una utilidad basada en Python llamada PDF-Detector, que analiza documentos certificados para resaltar cualquier elemento sospechoso que se encuentre en el documento PDF.

«Aunque ni la EAA ni la SSA pueden cambiar el contenido en sí, siempre permanece en el PDF, las anotaciones y los campos de firma se pueden usar como una superposición para agregar contenido nuevo», dijeron los investigadores. «Las víctimas que abren el PDF no pueden distinguir estas adiciones del contenido normal. Y lo que es peor: las anotaciones pueden incrustar un código JavaScript con privilegios elevados que se permite agregar a ciertos documentos certificados».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática