Các nhà nghiên cứu an ninh mạng đã tiết lộ hai kỹ thuật tấn công mới vào các tài liệu PDF được chứng nhận có khả năng cho phép kẻ tấn công thay đổi nội dung hiển thị của tài liệu bằng cách hiển thị nội dung độc hại trên nội dung được chứng nhận mà không làm mất hiệu lực chữ ký của nó.
“Ý tưởng tấn công khai thác tính linh hoạt của chứng chỉ PDF, cho phép ký hoặc thêm chú thích vào các tài liệu được chứng nhận dưới các cấp độ cho phép khác nhau” nói các nhà nghiên cứu từ Đại học Ruhr-Bochum, những người đã một cách có hệ thống đã phân tích tính bảo mật của đặc tả PDF trong những năm qua.
Các phát hiện đã được trình bày tại Hội nghị chuyên đề IEEE lần thứ 42 về Bảo mật và Quyền riêng tư (IEEE S&P 2021) được tổ chức trong tuần này.
Hai cuộc tấn công – được lồng tiếng Các cuộc tấn công bằng chú thích ác và chữ ký lén lút – bản lề về thao tác quy trình chứng nhận PDF bằng cách khai thác các sai sót trong đặc điểm kỹ thuật chi phối việc triển khai chữ ký số (còn gọi là chữ ký phê duyệt) và biến thể linh hoạt hơn của nó được gọi là chữ ký chứng nhận.
Chữ ký chứng nhận cũng cho phép các tập hợp con sửa đổi khác nhau trên tài liệu PDF dựa trên cấp độ quyền do người chứng nhận đặt, bao gồm khả năng viết văn bản vào các trường biểu mẫu cụ thể, cung cấp chú thích hoặc thậm chí thêm nhiều chữ ký.
Evil Annotation Attack (EAA) hoạt động bằng cách sửa đổi tài liệu chứng nhận được cấp phép để chèn các chú thích nhằm bao gồm chú thích chứa mã độc hại, sau đó được gửi đến nạn nhân. Mặt khác, ý tưởng đằng sau cuộc tấn công Chữ ký lén lút (SSA) là thao túng giao diện bằng cách thêm các phần tử chữ ký chồng lên một tài liệu cho phép điền vào các trường biểu mẫu.
Các nhà nghiên cứu cho biết: “Bằng cách chèn một trường chữ ký, người ký có thể xác định vị trí chính xác của trường và thêm vào đó là hình thức và nội dung của nó.” Thông tin có thể là hình ảnh, văn bản hoặc kết hợp cả hai. Tuy nhiên, kẻ tấn công có thể lạm dụng tính linh hoạt để lén lút thao túng tài liệu và chèn nội dung mới. “
Trong một kịch bản tấn công giả định được trình bày chi tiết bởi các học giả, người xác nhận tạo một hợp đồng được chứng nhận với thông tin nhạy cảm đồng thời cho phép tùy chọn thêm chữ ký khác vào hợp đồng PDF. Bằng cách tận dụng các quyền này, kẻ tấn công có thể sửa đổi nội dung của tài liệu, chẳng hạn như để hiển thị Số tài khoản ngân hàng quốc tế (IBAN) dưới sự kiểm soát của chúng và chuyển tiền một cách gian lận, vì nạn nhân, không thể phát hiện ra hành vi thao túng, chấp nhận giả mạo hợp đồng.
15 trong số 26 ứng dụng PDF được các nhà nghiên cứu đánh giá, tính cả Adobe Acrobat Reader (CVE-2021-28545 và CVE-2021-28546), Foxit Reader (CVE-2020-35931), và Nitro Pro, bị phát hiện dễ bị tấn công bởi EAA, cho phép kẻ tấn công thay đổi nội dung hiển thị trong tài liệu. Soda PDF Desktop, PDF Architect và sáu ứng dụng khác được xác định là dễ bị tấn công SSA.
Rắc rối hơn, nghiên cứu tiết lộ rằng có thể thực thi mã JavaScript có đặc quyền cao – ví dụ: chuyển hướng người dùng đến một trang web độc hại – trong Adobe Acrobat Pro và Reader bằng cách lén lấy mã đó qua EAA và SSA như một bản cập nhật gia tăng cho tài liệu được chứng nhận. Điểm yếu (CVE-2020-24432) đã được Adobe giải quyết như một phần của bản cập nhật Bản vá thứ ba cho Tháng 11 năm 2020.
Để chống lại các cuộc tấn công như vậy, các nhà nghiên cứu khuyên bạn nên cấm các chú thích FreeText, Stamp và Redact cũng như đảm bảo rằng các trường chữ ký được thiết lập tại các vị trí xác định trong tài liệu PDF trước khi chứng nhận, cùng với việc phạt bất kỳ trường hợp bổ sung chữ ký nào sau đó có chứng nhận không hợp lệ trạng thái. Các nhà nghiên cứu cũng đã tạo ra một tiện ích dựa trên Python có tên là Trình dò PDF, phân tích cú pháp các tài liệu được chứng nhận để làm nổi bật bất kỳ yếu tố đáng ngờ nào được tìm thấy trong tài liệu PDF.
Các nhà nghiên cứu cho biết: “Mặc dù cả EAA và SSA đều không thể tự thay đổi nội dung – nó luôn nằm trong PDF – các trường chú thích và chữ ký có thể được sử dụng làm lớp phủ để thêm nội dung mới,” các nhà nghiên cứu cho biết. “Nạn nhân khi mở tệp PDF không thể phân biệt những bổ sung này với nội dung thông thường. Và thậm chí tệ hơn: chú thích có thể nhúng mã JavaScript đặc quyền cao được phép thêm vào một số tài liệu được chứng nhận.”
