Shadow Attacks permite a los atacantes reemplazar contenido en archivos PDF firmados digitalmente

Los investigadores han demostrado una nueva clase de ataques que podrían permitir que un mal actor eluda potencialmente las contramedidas existentes y rompa la protección de integridad de los documentos PDF firmados digitalmente.

Llamados «ataques de sombra» por académicos de la Ruhr-University Bochum, la técnica utiliza la «enorme flexibilidad proporcionada por la especificación de PDF para que los documentos de sombra sigan cumpliendo con los estándares».

Los hallazgos se presentaron ayer en el Simposio de Seguridad de Redes y Sistemas Distribuidos (NDSS), con 16 de los 29 visores de PDF probados, incluidos Adobe Acrobat, Foxit Reader, Perfect PDF y Okular, que se encontraron vulnerables a los ataques sombra.

Para llevar a cabo el ataque, un actor malintencionado crea un documento PDF con dos contenidos diferentes: uno que es el contenido que espera la parte que firma el documento y el otro, una pieza de contenido oculto que se muestra una vez que se firma el PDF.

“Los firmantes del PDF reciben el documento, lo revisan y lo firman”, señalaron los investigadores. «Los atacantes usan el documento firmado, lo modifican ligeramente y se lo envían a las víctimas. Después de abrir el PDF firmado, las víctimas verifican si la firma digital se verificó con éxito. Sin embargo, las víctimas ven un contenido diferente al de los firmantes».

En el mundo analógico, el ataque es equivalente a dejar deliberadamente espacios vacíos en un documento en papel y hacer que lo firme la parte interesada, lo que finalmente permite que la contraparte inserte contenido arbitrario en los espacios.

Los ataques en la sombra se basan en una amenaza similar ideada por los investigadores en febrero de 2019, que descubrió que era posible alterar un documento firmado existente sin invalidar su firma, lo que hacía posible falsificar un documento PDF.

Aunque desde entonces los proveedores han aplicado medidas de seguridad para solucionar el problema, el nuevo estudio tiene como objetivo ampliar este modelo de ataque para determinar la posibilidad de que un adversario pueda modificar el contenido visible de un PDF firmado digitalmente sin invalidar su firma, suponiendo que pueda manipular el PDF. antes de que se firme.

En esencia, los ataques aprovechan funciones de PDF «inofensivas» que no invalidan la firma, como «actualización incremental» que permite realizar cambios en un PDF (por ejemplo, completar un formulario) y «formularios interactivos» (por ejemplo, texto campos, botones de radio, etc.) para ocultar el contenido malicioso detrás de objetos superpuestos aparentemente inocuos o reemplazar directamente el contenido original después de que se haya firmado.

Se puede usar una tercera variante llamada «ocultar y reemplazar» para combinar los métodos mencionados y modificar el contenido de un documento completo simplemente cambiando las referencias de objetos en el PDF.

«El atacante puede construir un documento oculto completo que influya en la presentación de cada página, o incluso en el número total de páginas, así como en cada objeto que contiene», dijeron los investigadores.

En pocas palabras, la idea es crear un formulario que muestre el mismo valor antes y después de la firma, pero un conjunto de valores completamente diferente después de la manipulación de un atacante.

Para probar los ataques, los investigadores han publicado dos nuevas herramientas de código abierto llamadas PDF-Attacker y PDF-Detector que se pueden usar para generar documentos ocultos y probar la manipulación de un PDF antes de firmarlo y después de modificarlo.

Las fallas, rastreadas como CVE-2020-9592 y CVE-2020-9596, han sido abordadas desde entonces por Adobe en una actualización publicada el 12 de mayo de 2020. A partir del 17 de diciembre de 2020, 11 de las 29 aplicaciones PDF probadas siguen sin parchear.

Esta no es la primera vez que se analiza la seguridad de PDF. Los investigadores han demostrado previamente métodos para extraer contenido de un archivo PDF protegido con contraseña aprovechando el cifrado parcial admitido de forma nativa por la especificación PDF para extraer contenido de forma remota una vez que un usuario abre ese documento.

Por separado, los investigadores descubrieron el mes pasado otro conjunto de 11 vulnerabilidades que afectan el estándar PDF (CVE-2020-28352 a CVE-2020-28359, y de CVE-2020-28410 a CVE-2020-28412) que podría conducir a la denegación de -servicio, divulgación de información, ataques de manipulación de datos e incluso ejecución de código arbitrario.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática