A Ruhr-University Bochum kutatói ezeket mutatták be a 42. alkalommal
megrendezett IEEE Biztonsági és Adatvédelmi Szimpóziumon (IEEE
S&P 2021) – tájékoztatott a Nemzeti Kibervédelmi Intézet
Belegondolni is rossz...
Az „Evil Annotation Attack” (EAA) és a „Sneaky Signature
Attack” (SSA) névre keresztelt támadási módszerek a különböző
szintű szerkesztési engedélyek rosszindulatú felhasználását
mutatják be.
Mint kiderült, nem csupán megjegyzésekkel juttatható káros
tartalom egy már aláírt tanúsítvánnyal ellátott pdf
dokumentumba (EAA), hanem a szabadon paraméterezhető aláírási
elemek segítségével új, megtévesztő tartalom beszúrására is
mód adódik (SSA).
Nyitott kapuk a csalások előtt
A kutatók szerint mindez könnyen belátható módon lehetőséget
adhat különböző csalásokra. Erre egy életszerű példa, hogy a
támadó egy további aláírások hozzáadásának engedélyével
ellátott digitálisan hitelesített pdf formátumú szerződést úgy
módosít, hogy a szerződésben szereplő bankszámlaszámot
megváltoztatja.
26 pdf olvasóból 15 sérülékeny a támadásokkal szemben
A kutatók vizsgálata szerint 26 PDF olvasóból 15 sérülékeny a támadásokkal szemben, az Adobe Acrobat Reader (CVE-2021-28545 és CVE-2021-28546), a Foxit Reader (CVE-2020-35931) és a Nitro Pro sérülékenységei EAA támadásokhoz, míg a Soda PDF Desktop, a PDF Architect és további hat alkalmazás sebezhetőségei SSA támadásokhoz használhatóak ki.
További aggodalomra ad okot, hogy az Adobe Acrobat Pro és a Reader
programokban JavaScript kódok is futtathatók, így akár olyan
linkek is elhelyezhetők a pdf dokumentumokban, amik rosszindulatú
weboldalakra irányítják át a felhasználókat. (Az Adobe
ugyanakkor ezzel a sérülékenységgel (CVE-2020-24432) már
foglalkozott a 2020 novemberében kiadott frissítési csomag
részeként.)
Tiltsuk a pdf szerkesztő funkciókat, elemezzük a hitelesített dokumentumokat
Az ilyen jellegű támadások ellen a kutatók azt javasolják, hogy tiltsuk a pdf szerkesztő funkciókat, valamint létrehoztak egy Python-alapú segédprogramot (PDF-Detector), amely elemzi a hitelesített dokumentumokat, és ez alapján kiemeli a gyanúsnak vélt elemeket.