Shadow Attack: Digital signierte PDF-Dateien anfällig für Manipulationen

Forscher der Ruhr-Universität Bochum haben eine Möglichkeit gefunden, nachträglich Inhalte von digital signierten PDF-Dokumenten zu ändern. Der von ihnen als Shadow Attack bezeichnete Angriff würde es beispielsweise erlauben, zusätzliche Klauseln zu Verträgen hinzuzufügen oder Beträge und Kontoverbindungen zu ändern, nachdem Rechnungen in Unternehmen zur Zahlung freigegeben wurden.

In ihrem Bericht beschreiben die Forscher drei Varianten von Shadow Attack. Von 28 untersuchten PDF-Viewern, darunter auch Anwendungen wie Adobe Acrobat Pro, Adobe Acrobat Reader und Foxit Reader, waren 15 für mindestens eine Variante anfällig. Die betroffenen Hersteller wurden ab Anfang März 2020 in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik informiert.

Alle drei Varianten basieren auf Schwachstellen, die die Forscher bereits im Februar 2019 öffentlich gemacht hatten. Damals fanden sie heraus, dass PDF-Anwendungen mögliche Änderungen von signierten PDF-Dokumenten prüfen, um zu entscheiden, ob die Signatur gültig ist. Allerdings werden einige Änderungen als „harmlos“ eingestuft, sodass die Anwendungen keine Warnung ausgeben. Diese „legitimen“ Änderungen lassen sich jedoch benutzen, um den vollständigen Inhalt eines Dokuments zu ändern.

Die drei neuen Angriffsvarianten, die auf dieser Technik aufbauen, heißen Hide, Replace sowie Hide and Replace. Bei Hide verbargen die Forscher hinter einem sichtbaren Element ein unsichtbares Element mit einem zusätzlichen oder einem anderen Inhalt. Replace erlaubt es indes, nachträglich neue Elemente hinzuzufügen. Die neuen Elementen stufen die PDF-Viewer als irrelevant ein. Dazu gehören offenbar Schriftarten, obwohl es darüber möglich ist, beispielsweise Zahlen auszutauschen um Rechnungsbeträge zu verändern.

Hide and Replace fasst beide Varianten zusammen. So waren die Forscher in der Lage, den Inhalt eines Dokuments vollständig durch einen zuvor versteckten Inhalten zu ersetzen.

„Hide and Replace ist die mächtigste Variante, da der Inhalt des gesamten Dokuments ausgetauscht werden kann. Der Angreifer kann ein komplettes Schattendokument erstellen, das die Darstellung jeder einzelnen Seite oder sogar die Gesamtzahl der Seiten sowie jedes darin enthaltenen Objekts beeinflusst“, erklärten die Forscher. „Ein möglicher Nachteil könnte entstehen, wenn während des Signierprozesses unbenutzte Objekte entfernt werden. So könnten die Schattenelemente gelöscht werden, wodurch der zweite Schritt des Angriffs überflüssig würde. Ein Sicherheitsscanner könnte auch die unbenutzten Objekte innerhalb der PDF-Datei erkennen und eine Warnung ausgeben. Derzeit tritt keiner dieser Nachteile auf.“

Inzwischen stehen für die meisten betroffenen Anwendungen Patches zur Verfügung. Sie beseitigen die Schwachstellen mit den Kennungen CVE-2020-9592 und CVE-2020-9596. Für Adobes PDF-Anwendungen stehen sie beispielsweise seit Mai zur Verfügung. Foxit veröffentlichte seine Fixes sogar bereits im April.