Onderzoekers van twee Duitse universiteiten hebben een manier gevonden om de inhoud van gesigneerde pdf-documenten te manipuleren zonder dat dit invloed op de digitale handtekening heeft. De onderzoekers noemen het een "Shadow Attack", die drie varianten kent waarbij het mogelijk is om een bepaalde waarde binnen het document te veranderen, bepaalde content te verbergen of de inhoud van het gehele document om te wisselen.
Het is mogelijk om pdf-documenten van een digitale handtekening te voorzien. Zo kan de ontvanger van een dergelijk document controleren dat de inhoud niet is aangepast. Bij de Shadow Attack maken de onderzoekers gebruik van de mogelijkheid om een pdf-document met verschillende lagen te maken die boven elkaar worden getoond. De ene laag bevat content voor de persoon die het document digitaal kan signeren, de andere laag is voorzien van verborgen content. Voor de ondertekenaar is deze verborgen content niet zichtbaar.
Na het signeren stuurt de ondertekenaar het gesigneerde pdf-document terug naar de aanvaller. Vervolgens voegt die een nieuwe inhoudsopgave toe (Xref-tabel) die naar de verborgen content wijst. Aangezien er in de nieuwe tabel wordt verwezen naar een al gedefinieerd object in het gesigneerde pdf-document (de verborgen content), zal er geen waarschuwing verschijnen en blijft de digitale handtekening intact. Zodra het aangepaste document wordt geopend krijgt de gebruiker de content te zien die in de nieuwe inhoudsopgave wordt genoemd en ziet niet de content die werd gezien door de persoon die het document digitaal signeerde.
Deze "Hide-and-Replace" variant van de Shadow Attack is volgens de onderzoekers de gevaarlijkste variant. Een aanvaller kan namelijk de inhoud van het gehele document omwisselen. Tijdens het onderzoek bleek dat 15 van de 28 pdf-lezers voor desktops kwetsbaar zijn voor één van de varianten. De twee onderliggende kwetsbaarheden (CVE-2020-9592 en CVE-2020-9596) werden in maart aan verschillende pdf-ontwikkelaars gerapporteerd. Adobe, LibreOffice, Foxit en SodaPDF hebben beveiligingsupdates aangekondigd. Andere leveranciers van pdf-lezers lieten niets van zich horen of maakten niet bekend of en wanneer er een patch zou komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.