Pesquisadores descobriram 2 novos métodos de hacking para quebrar os documentos PDF certificados

Views: 656
0 0
Read Time:4 Minute, 17 Second

Os pesquisadores de segurança cibernética da Ruhr University Bochum, da Faculdade de Engenharia Elétrica e Tecnologia da Informação, do Horst Görtz Institute for IT-Security descobriram recentemente dois novos exploits para quebrar os documentos PDF certificados.

Ao explorar essas duas falhas, um hacker pode modificar de forma fácil e secreta o conteúdo dos documentos com as assinaturas de certificação.

No total, os especialistas em segurança analisaram 26 aplicativos PDF e, entre eles, detectaram 24 aplicativos vulneráveis ​​a essas duas falhas de segurança.

Métodos de hacking para quebrar os documentos PDF certificados

Os analistas explicaram que existem dois tipos de assinaturas digitais atribuídos na especificação do PDF e aqui estão eles: –

  • Uma são as “Assinaturas de aprovação”, que são usadas para comprovar o status de um documento específico. Como um documento pode ter assinaturas diferentes, qualquer alteração no documento tornará a assinatura inválida.
  • Enquanto o outro é as “Assinaturas de Certificação”, ele fornece um arquivo de assinatura digital mais flexível. Embora possa ter apenas uma assinatura de certificação, pois permite ao proprietário do arquivo listar os itens do documento que podem ser alterados, como preencher campos específicos, comentar o documento ou adicionar um novo selo de aprovação.

Isso fez com que os pesquisadores se envolvessem na segurança do selo de certificação e fizessem uma análise sistemática da função de alteração do arquivo certificado.

E neste ponto, eles descobriram que a especificação continha duas vulnerabilidades de segurança, e aqui são mencionadas abaixo: –

  • Ataque de anotação do mal (EAA).
  • Ataque furtivo de assinatura (SSA).

Quer se trate de uma vulnerabilidade EAA ou vulnerabilidade SSA, pode alterar a apresentação do conteúdo no documento certificado, mantendo a validade do selo de certificação, sem incorrer em quaisquer avisos.

Entre os 26 aplicativos PDF testados, há 24 aplicativos que contêm pelo menos uma dessas falhas de segurança.

Além disso, os pesquisadores também analisaram se esses 26 programas atendem às especificações do PDF ao permitir anotações e assinaturas, e descobriram que 11 programas não atendiam aos requisitos.

Camadas de interface do usuário (IU)

  • Camada IU 1: Status de validação da barra superior.
  • Camada 2 da interface do usuário: Validação e informações detalhadas.
  • Camada 3 da IU: Anotações em PDF.

Ataque de anotação do mal (EAA)

Em um documento certificado, explorando as anotações, a EAA mostra o conteúdo arbitrário. Além disso, a EAA erradica a probidade da certificação, pois o documento certificado P3 permite adicionar anotações.

Os analistas de segurança categorizaram todas as anotações de acordo com seu nível de perigo e habilidades no EAA. Enquanto estavam na seção de perigo das anotações, os especialistas detectaram um total de três anotações que são: –

  • Redigir
  • Texto livre
  • Carimbo

Além dessas, existem algumas anotações que são categorizadas de acordo com sua habilidade baixa ou nenhuma, e essas anotações são limitadas em número. No entanto, neste ataque, os atores da ameaça apresentam todos os documentos legítimos que facilmente permitem a inserção e anotações, mas todos esses documentos contêm links e conteúdo malicioso.

Não só isso, os analistas também detectaram um desvio, como os visualizadores de PDF detectam facilmente as anotações por seu subtipo especificado. E este Subtipo foi usado por diferentes visualizadores como uma ferramenta de edição, se o valor do Subtipo estiver faltando ou se ele estiver simbolizando como um conjunto para um valor não especificado, então o visualizador de PDF não é capaz de detectar esta anotação.

Ataque furtivo de assinatura (SSA)

O principal motivo do SSA é explorar a forma e os recursos do conteúdo arbitrário do PDF. Funciona incluindo a sobreposição da assinatura de todos os detalhes da anotação a um documento PDF, e todos os documentos são certificados no nível P2 com as características de assinatura de documentos e preenchimento de formulários.

No entanto, no SSA o nível de perigo é bastante baixo e todo o valor desses ataques foi salvo ou armazenado nos campos. Depois que os invasores assinaram um certificado autoassinado para SSA, eles estão prontos para os ataques SSA.

Segundo os especialistas, após a abertura dos processos, se as vítimas encontrarem algum documento suspeito, simplesmente recusam o documento, embora a certificação seja legítima.

Por outro lado, a Adobe também contém uma vulnerabilidade adicional que permite que hackers executem código JavaScript em documentos autenticados, apresentando o risco de ataques de injeção de código .

Durante a análise, os pesquisadores avaliaram todos os 26 aplicativos PDF e, entre eles, 15 aplicativos são vulneráveis ​​a ataques EAA e SSA.

Aqui, o Adobe Acrobat Reader com CVE-2021-28545 e CVE-2021-28546, o Foxit Reader com CVE-2020-35931 e o Nitro Pro são vulneráveis ​​ao ataque EAA. Enquanto outros aplicativos como Soda PDF Desktop, PDF Architect e seis outros são vulneráveis ​​a ataques SSA.

Além disso, atualmente, Adobe, Foxit e LibreOffice já corrigiram todas as vulnerabilidades relacionadas, e os pesquisadores também estão trabalhando em conjunto com a organização de padrões globais para desenvolver uma nova geração de especificações PDF para corrigir os defeitos das especificações existentes.

Já relatamos anteriormente sobre ataques semelhantes que contornam a validação de assinatura em PDF. PDFs assinados digitalmente são usados ​​em contratos e faturas para garantir a autenticidade e integridade de seu conteúdo.

FONTE: MUNDO HACKER

POSTS RELACIONADOS