研究人员发现了一种新型“影子攻击”:在PDF内容可以被隐藏、替换和篡改的前提下,对文档内容进行隐藏、篡改或替换等恶意操作。常见操作包括更换收款人、支付指令或更改合同条款。这种攻击技术被德国波鸿鲁尔大学的学者称为“影子攻击”。它的主要攻击原理是“视图层”的概念,即PDF文档中重叠的不同内容集。它利用“PDF灵活的技术规范使影子文档能够在符合标准的情况下运行”。调查结果于2月22日在网络和分布式系统安全研讨会(NDSS)上公布。在测试的29个PDF阅读器中,有16个易受影子攻击——包括Adob??eAcrobat、FoxitReader、PerfectPDF和Okular。据研究团队介绍,这种影子攻击有3种变种:隐藏:攻击者利用PDF规范中的增量更新功能,隐藏某一层的内容。替换:攻击者利用PDF规范中的“交互式表单”功能,将原始内容替换为修改后的内容。隐藏和替换:攻击者用其中包含的第二个PDF文档完全替换原始文档。在攻击中,攻击者创建一个包含两种不同内容的PDF文档:一种是签署文档的一方所期望的,另一种是在文档签名后显示隐藏内容的。“当PDF的签名者收到文档时,它会进行定期审查和签名,”研究人员解释道。“攻击者获得签名文件,稍作修改并将其发送给受害者。受害者在收到文件后检查数字签名。”认证成功,但受害者看到的是篡改内容。”在模拟世界中,这种攻击相当于故意在纸质文档中留出空白,供相关方签名,攻击者可以插入任意内容。研究团队补充道hideandreplace是危害最大的变种攻击,因为它可以替换整个文档的内容。”攻击者可以创建一个完整的影子文档,影响每个页面的渲染内容,甚至影响页面的总数和显示其中包含的每个项目。“攻击的关键是利用不会使签名无效的本机PDF功能,例如允许修改PDF的‘增量更新’功能(例如填写表格)和‘交互式表格’功能(例如文本域,单选按钮等)),将恶意内容隐藏在一个看似无害的覆盖对象后面,或者签名后直接替换原来的内容。简单来说,思路就是创建一个表单,在签名前后显示相同的内容,但是攻击者篡改之后,会显示出一组完全不同的内容,为了测试这次攻击,研究人员发布了两款新的开源工具PDF-Attacker和PDF-Detector,这两款工具可以用来生成影子文件和检测文档在签名前和修改后的篡改。此影子攻击利用的漏洞被跟踪为CVE-2020-9592和CVE-2020-9596,Adobe在2020年5月12日发布的更新中解决了该威胁。但是截至2020年12月17日,测试的29款PDF阅读器中,仍有11款未修复。据介绍,影子攻击是基于研究人员在2019年2月设计的同类型威胁。当时,研究人员发现该类型的威胁可以在保证签名有效的前提下修改文档,从而可以伪造PDF文档。尽管制造商此后已采取安全措施修复问题,但新的研究旨在扩展这种攻击模型,以证明攻击者是否可以保证签名的有效性。接下来,修改文档的可见内容。这不是PDF安全问题第一次受??到关注。研究人员之前已经演示了提取受密码保护的PDF文档的方法,使用PDF规范支持的部分加密技术,一旦用户打开文档,就可以远程泄露内容。此外,上个月,研究人员发现了另外一组影响PDF标准的11个漏洞(CVE-2020-28352到CVE-2020-28359和CVE-2020-28410到CVE-2020-28412),这些漏洞可能导致拒绝访问、信息泄露、数据操纵攻击,甚至任意代码执行。
