新型“影子攻擊”繞過數(shù)字簽名篡改PDF文件
責(zé)編:gltian |2020-08-10 13:51:41最近,德國的波鴻魯爾大學(xué)發(fā)布了一份研究,發(fā)現(xiàn)28個桌面PDF瀏覽應(yīng)用中,有15個受到最新的PDF攻擊影響。該攻擊可以讓惡意的攻擊者修改數(shù)字簽名的PDF文件。受影響的應(yīng)用包括Adobe Acrobat Pro、Adobe Acrobat Reader、Perfect PDF、Foxit Reader、PDFFelement等。
(圖片來自Mainka et al)
研究者將這種類型的攻擊命名為“影子攻擊”。
影子攻擊的主要攻擊理念基于“圖層”——即PDF文件中不同內(nèi)容按順序疊放形成的最終效果。
影子攻擊的模式是由攻擊者準備一份不同圖層的文件,并發(fā)給被攻擊者。被攻擊者在最高圖層進行數(shù)字簽名,但是一旦攻擊者收到了該文件,他們再將可見的圖層修改到另一個文件中。
因為該圖層包括在被攻擊者已經(jīng)簽名的原始文件中農(nóng),而修改圖層的可見性本身并不會影響數(shù)字簽名的結(jié)果,從而使得攻擊者能使用這份具有法律效力的文件實行惡意行為——比如替換收據(jù)、修改PDF訂單中的數(shù)額或者修改合同條款等。
(圖片來自Mainka et al)
根據(jù)研究團隊,影子攻擊有三種變體:
- 隱藏:攻擊者使用PDF標準的增量式更新隱藏圖層,而不需要替換任何其他東西。
- 替換:攻擊者使用PDF標準的交互式表單替換原文件中的數(shù)值。
- 隱藏加替換:攻擊者使用原文件中的另一個PDF文件進行 完全替換。
(圖片來自Mainka et al)
研究團隊表示,隱藏加替換是最具威脅的變種,因為該變種能替換整個文件;攻擊者可以建造一個完整的影子文件,從而影響每一頁的展示內(nèi)容,甚至文件中的頁數(shù)。
研究人員稱,影子攻擊得以生效的原因,在于PDF文檔即使被數(shù)字簽名后,依然能在他們的內(nèi)容中顯示未被使用的PDF對象。
因此,會在文件簽名時移除未被使用的PDF對象的PDF閱讀器能夠免疫影子攻擊。
研究團隊表示,他們已經(jīng)和德國的安全應(yīng)急響應(yīng)團隊CERT-Bund合作,聯(lián)系了相關(guān)的PDF應(yīng)用廠商,上報了該攻擊,并在他們發(fā)布這份相關(guān)報告前進行了修復(fù)。
影子攻擊當前的CVE編號為CVE-2020-9592與CVE-2020-9596,。
企業(yè)需要盡快更新他們的PDF閱讀器,以確保他們簽字的PDF文件不會被影子攻擊所篡改。
這是該團隊第二次破解了PDF閱讀器的數(shù)字簽名了。在2019年2月,該團隊破解了22個桌面PDF閱讀器中21個,以及7個在線簽名服務(wù)中5個的數(shù)字簽名機制,制造出虛假簽名的文件。
這次的影子攻擊和之前的破解不同,因為影子攻擊并不針對簽名進行攻擊,而是在不篡改簽名的情況下修改內(nèi)容。
另外,該團隊還發(fā)現(xiàn)一種針對27種PDF閱讀器的破解密碼方式PDFex,可以從加密的PDF文檔中直接獲取數(shù)據(jù)。
來源:數(shù)世咨詢
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!