Мы ежедневно публикуем обзор событий со всего мира на самые разнообразные тематики. Новости новых технологий и происшествий

Хакеры научились подменять содержимое защищенных PDF-документов, не нарушая цифровой подписи

Слишком многое можно поменять

Эксперты из Рурского университета в Бохуме (Германия) продемонстрировали сразу два способа подменять отображаемое содержимое PDF-документов, защищенных сертификатами безопасности.

«Идея атаки эксплуатирует гибкость сертификации PDF, позволяющей подписывать и добавлять аннотации к сертифицированным документам под разными уровнями разрешений», — говорится в публикации исследователей.

Атак на самом деле две: Evil Annotation («Злонамеренное аннотирование») и Sneaky Signature («Скользкая подпись»). Обе сводятся к манипулированию процессом сертификации PDF и используют слабые места в реализации цифровых подписей для таких документов.

Хакеры научились подменять содержимое защищенных PDF-документов, не нарушая цифровой подписи

Уязвимости в реализации PDF позволяют подменять часть содержимого в защищенных документах

В частности, подписи на основе сертификатов (Certification signatures) позволяют вносить различные модификации, в зависимости от уровня разрешений, установленных удостоверителем. Эти модификации могут включать возможность вписывать текст в определенные поля форм, добавлять аннотации или даже множественные подписи.

«Злонамеренное аннотирование» подразумевает добавление к документу, направляемому потенциальной жертве, аннотаций, содержащих вредоносный код. В свою очередь, «Скользкая подпись» подразумевает подмену значений в определенных полях поверх исходных величин. Так, например, в исходном документе обозначена цена той или иной услуги в $10, а в модифицированном количество нулей в том же поле оказывается в семь раз больше.

Каждая модификация должна быть сертифицирована новой подписью, однако у злоумышленника есть возможность прятать свою подпись за пределами видимой области, так что возникает иллюзия, будто никаких несанкционированных изменений в документ не вносили.

Исследователи отмечают, что у злоумышленников есть возможность подменять значения в самых разных полях. Теоретически есть возможность подсовывать жертвам контракты с подменными реквизитами банковских счетов, и эти реквизиты будут выглядеть совершенно легитимно.

Смысл сертификации

Из 26 приложений для работы с PDF, проанализированных исследователями, 15 оказались уязвимыми перед атакой Evil Annotation. В их числе Adobe Acrobat Reader, Foxit Reader и Nitro Pro. Все они допускали перекрытие оригинального контента подменным.

Еще шесть приложений, в том числе Soda PDF Desktop и PDF Architect уязвимы перед Sneaky Signature.

Выяснилось также, что с помощью таких атак можно интегрировать в документ код Java Script, например, для переадресации пользователя на вредоносный сайт. Эта уязвимость затрагивала Adobe Acrobat Pro и Reader (CVE-2020-24432). Adobe внесла соответствующие изменения в свои продукты в ноябре 2020 г.

Для противодействия описанным атакам эксперты советуют запретить использовать такие функции как FreeText, Stamp и Redact, а также настроить документ так, чтобы любые изменения в полях форм уже сертифицированного документа приводили к аннулированию сертификата.

«Возможность перекрывать значения определенных полей по факту тождественно возможности менять само содержимое сертифицированного документа, по крайней мере, для конечных его получателей, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Это делает практически бесполезным присвоение ему сертификата, который должен служить залогом неизменности документа. Остается надеяться на скорое внесение соответствующих изменений во все приложения для работы с PDF».