Yaakov's Group | Ciberseguridad

Investigadores revelan nuevos métodos para reemplazar el contenido en archivos PDF firmados

Comparte este post en tus redes sociales

Un equipo de investigadores de la Universidad Ruhr  Bochum en Alemania han revelado una serie de nuevos métodos de ataque contra archivos PDF firmados.

Apodado Shadow Attacks, las nuevas técnicas permiten que un hacker oculte y reemplace contenido en un documento PDF firmado sin invalidar su firma. El hacker puede crear un documento con dos contenidos diferentes, uno que el firmante espera ver y otro que se mostrará al destinatario del documento.

“Los firmantes del PDF reciben el documento, lo revisan y lo firman. Los atacantes usan el documento firmado, lo modifican ligeramente y lo envían a las víctimas. Después de abrir el PDF firmado, las víctimas verifican si la firma digital se verificó con éxito. Sin embargo, las víctimas ven un contenido diferente al de los firmantes ”, explicaron los investigadores.

Han probado 28 aplicaciones de visor de PDF y descubrieron que 15 de ellas eran vulnerables a al menos uno de los ataques, incluidas las aplicaciones creadas por Adobe, Foxit y LibreOffice. Estas tres organizaciones ya han lanzado parches, pero muchos de los vendedores afectados no respondieron a los mensajes de los investigadores o no proporcionaron información sobre la disponibilidad de los parches.

Los mismos investigadores revelaron previamente métodos para romper las firmas de archivos PDF y realizar cambios no autorizados en documentos firmados. Ahora han presentado tres nuevos ataques a las firmas PDF.

Las organizaciones y los individuos, esto incluye gobiernos, investigadores y empresas, a menudo firman documentos PDF para evitar cambios no autorizados. Si alguien realiza modificaciones en el documento firmado, su firma no será válida.

Sin embargo, los investigadores de la Ruhr University Bochum han demostrado tres variantes de los Shadow Attacks, que los atacantes pueden aprovechar para ocultar, reemplazar u ocultar y reemplazar contenido en archivos PDF. Las vulnerabilidades que permiten estos ataques se rastrean como CVE-2020-9592 y CVE-2020-9596.

La variante «Ocultar» de los Shadow Attacks implica ocultar algo de contenido en un PDF detrás de otra capa, como una imagen de página completa. En un escenario de ataque descrito por los expertos, el atacante envía al firmante un documento con una imagen de un mensaje tentador o inofensivo sobre el contenido que desea ocultar. Una vez que el documento ha sido firmado y enviado de vuelta al atacante, pueden manipular el archivo para que el visor de PDF ya no muestre la imagen, lo que hace que el contenido oculto sea visible.

La variante «Reemplazar» del ataque implica agregar un nuevo objeto, un objeto que se considera inofensivo pero que puede afectar la forma en que se presenta el contenido, a un documento firmado.

“Por ejemplo, la (re) definición de fuentes no cambia el contenido directamente. Sin embargo, influye en la vista del contenido mostrado y hace posible el intercambio de números o caracteres ”, explicaron los investigadores.

La variante «Ocultar y reemplazar», que los investigadores describieron como «la más poderosa», permite a un atacante cambiar todo el contenido de un documento firmado. En este ataque, el pirata informático inserta contenido oculto y contenido visible en el documento utilizando dos objetos que tienen la misma ID de objeto, y lo envía al objetivo. Una vez que reciben el documento firmado, el atacante agrega una nueva tabla Xref y un nuevo Trailer para que se muestre el contenido oculto en lugar de lo que vio la víctima antes de firmar el documento.

Fuente: Security Week

Deja un comentario