一群专门研究PDF程序安全漏洞的研究人员在本周披露了新的影子攻击(Shadow Attacks)手法,可篡改已被签章的PDF文件,在所检测的27款桌面PDF程序中,就有15款至少含有一个相关漏洞。
研究人员解释,相关攻击的概念是黑客可在一个PDF文件中创建两种不同的内容,在负责签章的用户收到PDF文件,检查并签署它之后,按理说该文件就无法再被篡改;假设文件被变更了,那么PDF程序会分析这些已采用数字签名之后才被变更的内容,以判断相关的变更是否合法,例如不得覆盖页面上的内容等;然而,有些变更会被这些PDF程序视为无害的,断定签章依然有效,而且不会祭出任何警告,这使得他们进一步找到如何滥用这些合法变更的功能,篡改已签章PDF文件的内容。
该团队已经打造出不同形式的影子攻击,分别是把内容藏在已签章的PDF文件中,或是置换已签章PDF文件的内容,以及隐藏及置换已签章PDF文件的内容。
以藏匿型的攻击来说,黑客可以把“你被开除了”的文本,藏匿在“签名就能获得奖励”的图片后面,只要该文件是通过线上签章服务签署,而且受害者通过关键字来搜索文件,就能找到黑客所藏匿的文本。
在置换内容的攻击上,则是把被视为无害的对象加在已签章的PDF文件中,但却可直接影响PDF文件的内容呈现。例如变更字体有时便会造成数字或字符的不同,或是滥用其交互式表单功能,让受害者看到不同的数值。
而隐藏暨置换的攻击手法则是最强大的,它可让已签署的PDF文件内置一个拥有完全不同内容的隐藏文件,该隐藏文件从每一页的内容到文件页数,可能都跟原始文件不同。
研究人员在今年3月就陆续通报各家PDF程序开发者,目前确定的是Adobe已修补了影子攻击所开采的CVE-2020-9592与CVE-2020-9596漏洞,其它PDF程序开发者也可利用研究人员所发布的攻击程序进行测试。
在所测试的27款PDF程序中,有15款至少含有一个完整的相关漏洞,至于完全不受影响的程序只有3个,它们是macOS版的Master PDF Editor、PDF Editor 6 Pro与PDFelement。