(A kép forrása: thehackernews.com)
A Ruhr-University Bochum kutatói két új veszélyes támadási technikát mutattak be a 42. alkalommal megrendezésre került IEEE Biztonsági és Adatvédelmi Szimpóziumon (IEEE S&P 2021), amelyek lehetővé tehetik rosszindulatú vagy megtévesztő tartalmak megjelenítését digitálisan hitelesített dokumentumokon. Az „Evil Annotation Attack” (EAA) és a „Sneaky Signature Attack” (SSA) névre keresztelt támadási módszerek a különböző szintű szerkesztési engedélyek rosszindulatú felhasználását mutatják be. Mint kiderült, nem csupán megjegyzésekkel juttatható káros tartalom egy már aláírt tanúsítvánnyal ellátott pdf dokumentumba (EAA), hanem a szabadon paraméterezhető aláírási elemek segítségével új, megtévesztő tartalom beszúrására is mód adódik (SSA). A kutatók szerint mindez könnyen belátható módon lehetőséget adhat különböző csalásokra. Erre egy életszerű példa, hogy a támadó egy további aláírások hozzáadásának engedélyével ellátott digitálisan hitelesített pdf formátumú szerződést úgy módosít, hogy a szerződésben szereplő bankszámlaszámot megváltoztatja. A kutatók vizsgálata szerint 26 PDF olvasóból 15 sérülékeny a támadásokkal szemben, az Adobe Acrobat Reader (CVE-2021-28545 és CVE-2021-28546), a Foxit Reader (CVE-2020-35931) és a Nitro Pro sérülékenységei EAA támadásokhoz, míg a Soda PDF Desktop, a PDF Architect és további hat alkalmazás sebezhetőségei SSA támadásokhoz használhatóak ki. További aggodalomra ad okot, hogy az Adobe Acrobat Pro és a Reader programokban JavaScript kódok is futtathatók, így akár olyan linkek is elhelyezhetők a pdf dokumentumokban, amik rosszindulatú weboldalakra irányítják át a felhasználókat. (Az Adobe ugyanakkor ezzel a sérülékenységgel (CVE-2020-24432) már foglalkozott a 2020 novemberében kiadott frissítési csomag részeként.) Az ilyen jellegű támadások ellen a kutatók azt javasolják, hogy tiltsuk a pdf szerkesztő funkciókat, valamint létrehoztak egy Python-alapú segédprogramot (PDF-Detector), amely elemzi a hitelesített dokumentumokat, és ez alapján kiemeli a gyanúsnak vélt elemeket.