签名不动也可遭修改:热门PDF 阅读器和验证服务被曝多个漏洞
编译:代码卫士团队
研究人员警告称,很多流行的 PDF 查看器和在线验证服务中包含多个漏洞。在无需使已签名 PDF 文档失效的情况下,可利用这些漏洞对已签名 PDF 文档做出未授权修改。
来自德国波鸿鲁尔大学的研究员分析了22款桌面应用(包括 Windows、Linux 和 macOS 版本)和7款在线验证服务。
依赖于加密操作的 PDF 签名广泛应用于全球各组织机构,旨在确保这些文档不会遭未授权修改。很多政府签名官方文档,研究人员常常会签名科学论文,而大型公司如亚马逊也会签名如发票等文件。如已签名文档被更改,那么其签名也应当失效。
然而,研究人员发现了三种 PDF 签名欺骗攻击方法,并证明绝大多数 PDF 查看器和在线验证服务易受其中至少一种攻击方法的影响。
研究人员表示,未授权用户可利用多种技术在无需使签名失效的情况下更改 PDF 文档。
易受攻击的应用包括 Adobe Reader、Foxit Reader、LibreOffice、Nitro Reader、PDF-XChange 和 Soda PDF,而这些是一些最受欢迎的 PDF 阅读器。易受影响的验证服务包括 DocuSign、eTR 验证服务、DSS Demonstration WebApp、Evotrust 和 VEP.si。
唯一不受影响的是运行在 Linux 系统上的 Adobe Reader 9 和 DSS Domonstration WebApp 5.4版本。研究人员已经在和德国政府 CERT 机构即 CERT-Bund 合作,向受影响厂商发出通知并为他们提供解决方案。虽然一些在线服务尚未推出补丁,但提供 PDF 查看应用服务的企业已发布修复方案。
三种攻击方法
研究人员发现的三种攻击方法被称为“通用签名伪造 (USF)”、“增量保持攻击 (ISA)”和“签名包装攻击 (SWA)”。
在 USF 场景下,攻击者能够操纵签名中的元信息,以便用于打开遭修改的 PDF 的应用能够找到签名而非用于验证的信息。尽管信息缺失,但某些应用如 Acrobat Reader DC 和 Reader XI 仍将签名视为有效签名。
ISA 攻击影响很多久经考验的应用和服务,它利用的是 PDF 规范中的一个合法功能。该功能可允许通过附加更改来更新文件,如存储注释或向文档新增页面。攻击者能够通过修改并非签名完整性保护措施一部分的元素来修改文档。
SWA 攻击影响很多款 PDF 应用和一些在线验证服务,它强制签名验证逻辑通过“将原始签名的内容重新定位到文档中的不同位置并在所分配的位置插入新内容”的方式处理不同数据。
研究人员通过论文和创建的专门网站 (https://www.pdf-insecurity.org) 说明了攻击的技术详情。
推荐阅读
原文链接
https://www.securityweek.com/new-attacks-show-signed-pdf-documents-cannot-be-trusted
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。