針對 PDF 認證漏洞現 2 種新攻擊方式 多個應用程序受影響
在日常辦公中大多數企業都離不開PDF的使用。但PDF認證存在的系統漏洞可以改變文檔中顯示的內容,這就意味著文檔中的敏感信息可以能會被更改或竊取,進而引發經濟損失。
網絡安全研究人員披露了兩種針對經過認證的PDF文檔存在漏洞的新攻擊技術,攻擊者可以通過PDF Certification存在的漏洞,添加惡意內容而不使簽名失效來改變文檔的可見內容。
研究人員表示,這種新型攻擊充分利用了PDF認證系統的靈活性,它允許在不同權限級別下對認證文檔進行簽名或添加注釋。
兩個修改認證PDF文檔新方式
這兩種修改認證PDF文檔的攻擊——被稱為Evil Annotation 和 Sneaky Signature 攻擊——依賴于通過利用規范中的系統漏洞來操縱 PDF 認證過程,該規范管理數字簽名(又名批準簽名)及其更靈活的變體(稱為認證簽名)的實施。
認證簽名還允許根據認證者設置的權限級別對 PDF 文檔進行不同的子集修改,包括將文本寫入特定表單字段、提供注釋甚至添加多個簽名的能力。
Evil Annotation Attack (EAA) 的工作原理是利用系統漏洞修改經過認證的文檔,該文檔被設置為插入注釋以包含含有惡意代碼的注釋,然后將其發送給受害者。另一方面,Sneaky Signature Attack (SSA) 背后的邏輯是通過系統漏洞向允許填寫表單字段的文檔添加重疊簽名元素來操縱外觀。
攻擊影響
在對26個PDF應用程序進行評估后,包括Adobe Acrobat Reader (漏洞CVE-2021-28545和CVE-2021-28546)、Foxit Reader (漏洞CVE-2020-35931)和Nitro Pro等其中15個易受EAA攻擊,并使攻擊者能夠改進文檔中可見內容。oda PDF Desktop、PDF Architect和其他6個應用程序易受到SSA攻擊。
防范建議
為抵御針對這類系統漏洞的攻擊,建議禁止使用FreeText、Stamp和Redact注釋,并確保認證之前在PDF文檔中的指定位置設置簽名字段,并禁止任何后續添加的帶有無效證書的簽名字段。
盡管EAA和SSA都不能改變內容本身,但注釋和簽名字段可以被用作添加新內容進行覆蓋打開PDF的受害者無法將這些新增內容與普通內容區分開,更糟糕的是注釋可以嵌入高特權的JavaScript代碼,允許添加到特定的認證文檔中。中科天齊提醒大家,在使用Adobe 系列應用軟件及PDF文檔時,要及時對已知漏洞進行修補并加強網絡安全防范意識,警惕犯罪分子攻擊。
