Categories: Sicherheit

Shadow Attack: Digital signierte PDF-Dateien anfällig für Manipulationen

Forscher der Ruhr-Universität Bochum haben eine Möglichkeit gefunden, nachträglich Inhalte von digital signierten PDF-Dokumenten zu ändern. Der von ihnen als Shadow Attack bezeichnete Angriff würde es beispielsweise erlauben, zusätzliche Klauseln zu Verträgen hinzuzufügen oder Beträge und Kontoverbindungen zu ändern, nachdem Rechnungen in Unternehmen zur Zahlung freigegeben wurden.

In ihrem Bericht beschreiben die Forscher drei Varianten von Shadow Attack. Von 28 untersuchten PDF-Viewern, darunter auch Anwendungen wie Adobe Acrobat Pro, Adobe Acrobat Reader und Foxit Reader, waren 15 für mindestens eine Variante anfällig. Die betroffenen Hersteller wurden ab Anfang März 2020 in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik informiert.

Alle drei Varianten basieren auf Schwachstellen, die die Forscher bereits im Februar 2019 öffentlich gemacht hatten. Damals fanden sie heraus, dass PDF-Anwendungen mögliche Änderungen von signierten PDF-Dokumenten prüfen, um zu entscheiden, ob die Signatur gültig ist. Allerdings werden einige Änderungen als „harmlos“ eingestuft, sodass die Anwendungen keine Warnung ausgeben. Diese „legitimen“ Änderungen lassen sich jedoch benutzen, um den vollständigen Inhalt eines Dokuments zu ändern.

Die drei neuen Angriffsvarianten, die auf dieser Technik aufbauen, heißen Hide, Replace sowie Hide and Replace. Bei Hide verbargen die Forscher hinter einem sichtbaren Element ein unsichtbares Element mit einem zusätzlichen oder einem anderen Inhalt. Replace erlaubt es indes, nachträglich neue Elemente hinzuzufügen. Die neuen Elementen stufen die PDF-Viewer als irrelevant ein. Dazu gehören offenbar Schriftarten, obwohl es darüber möglich ist, beispielsweise Zahlen auszutauschen um Rechnungsbeträge zu verändern.

Hide and Replace fasst beide Varianten zusammen. So waren die Forscher in der Lage, den Inhalt eines Dokuments vollständig durch einen zuvor versteckten Inhalten zu ersetzen.

„Hide and Replace ist die mächtigste Variante, da der Inhalt des gesamten Dokuments ausgetauscht werden kann. Der Angreifer kann ein komplettes Schattendokument erstellen, das die Darstellung jeder einzelnen Seite oder sogar die Gesamtzahl der Seiten sowie jedes darin enthaltenen Objekts beeinflusst“, erklärten die Forscher. „Ein möglicher Nachteil könnte entstehen, wenn während des Signierprozesses unbenutzte Objekte entfernt werden. So könnten die Schattenelemente gelöscht werden, wodurch der zweite Schritt des Angriffs überflüssig würde. Ein Sicherheitsscanner könnte auch die unbenutzten Objekte innerhalb der PDF-Datei erkennen und eine Warnung ausgeben. Derzeit tritt keiner dieser Nachteile auf.“

Inzwischen stehen für die meisten betroffenen Anwendungen Patches zur Verfügung. Sie beseitigen die Schwachstellen mit den Kennungen CVE-2020-9592 und CVE-2020-9596. Für Adobes PDF-Anwendungen stehen sie beispielsweise seit Mai zur Verfügung. Foxit veröffentlichte seine Fixes sogar bereits im April.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

2 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

2 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

2 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

2 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

2 Tagen ago