Los investigadores han demostrado una nueva clase de ataques que podrían permitir a un mal actor eludir las contramedidas existentes y romper la protección de la integridad de los documentos PDF firmados digitalmente.
La técnica, denominada " ataques en la sombra " por académicos de la Universidad de Ruhr en Bochum, utiliza la "enorme flexibilidad proporcionada por la especificación PDF para que los documentos en la sombra sigan cumpliendo con los estándares".
Los hallazgos se presentaron ayer en el Simposio de seguridad de redes y sistemas distribuidos (NDSS), y 16 de los 29 visores de PDF probados, incluidos Adobe Acrobat, Foxit Reader, Perfect PDF y Okular, se encontraron vulnerables a los ataques en la sombra.
Para llevar a cabo el ataque, un actor malintencionado crea un documento PDF con dos contenidos diferentes: uno que es el contenido que espera la parte que firma el documento, y el otro, un contenido oculto que se muestra una vez que se firma el PDF.
"Los firmantes del PDF reciben el documento, lo revisan y lo firman", señalaron los investigadores. "Los atacantes utilizan el documento firmado, lo modifican levemente y lo envían a las víctimas. Después de abrir el PDF firmado, las víctimas comprueban si la firma digital se verificó correctamente. Sin embargo, las víctimas ven un contenido diferente al de los firmantes".
En el mundo analógico, el ataque equivale a dejar deliberadamente espacios vacíos en un documento en papel y conseguir que la parte interesada lo firme, permitiendo en última instancia que la contraparte inserte contenido arbitrario en los espacios.
Los ataques en la sombra se basan en una amenaza similar ideada por los investigadores en febrero de 2019 , que descubrió que era posible alterar un documento firmado existente sin invalidar su firma, lo que hace posible falsificar un documento PDF.
Aunque los proveedores han aplicado desde entonces medidas de seguridad para solucionar el problema, el nuevo estudio tiene como objetivo ampliar este modelo de ataque para determinar la posibilidad de que un adversario pueda modificar el contenido visible de un PDF firmado digitalmente sin invalidar su firma, asumiendo que puede manipular el PDF. antes de que se firme.
En esencia, los ataques aprovechan las funciones de PDF "inofensivas" que no invalidan la firma, como la "actualización incremental" que permite realizar cambios en un PDF (por ejemplo, completar un formulario) y "formularios interactivos" (por ejemplo, texto campos, botones de radio, etc.) para ocultar el contenido malicioso detrás de objetos superpuestos aparentemente inocuos o reemplazar directamente el contenido original después de que esté firmado.
Se puede utilizar una tercera variante llamada " ocultar y reemplazar " para combinar los métodos antes mencionados y modificar el contenido de un documento completo simplemente cambiando las referencias del objeto en el PDF.
"El atacante puede crear un documento oculto completo que influya en la presentación de cada página, o incluso en el número total de páginas, así como en cada objeto que contiene", dijeron los investigadores.
En pocas palabras, la idea es crear un formulario, que muestre el mismo valor antes y después de firmar, pero un conjunto de valores completamente diferente después de la manipulación de un atacante.
Para probar los ataques, los investigadores han publicado dos nuevas herramientas de código abierto llamadas PDF-Attacker y PDF-Detector que se pueden usar para generar documentos en la sombra y probar un PDF para su manipulación antes de que se firme y después de que se modifique.
Las fallas, rastreadas como CVE-2020-9592 y CVE-2020-9596 , han sido abordadas por Adobe en una actualización lanzada el 12 de mayo de 2020. Al 17 de diciembre de 2020, 11 de las 29 aplicaciones PDF probadas permanecen sin parches.
https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html
