15 z 28 aplikacji do tworzenia i modyfikacji plików PDF jest podatnych na nowy atak, który pozwala atakującym zmieniać treść podpisanego elektronicznie dokumentu PDF. Wykryty został przez naukowców z Ruhr University w Bochum w Niemczech i nazwany Shadow Attack (CVE-2020-9592 i CVE-2020-9596).
Na liście podatnych aplikacji znajdują się Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement i wiele innych.
Idea tej techniki opiera się na koncepcie “warstw widoku” – różnych zestawów treści, które nakładane są jedna na drugą w dokumencie PDF. Do ataku dochodzi w momencie, gdy atakujący przygotowuje dokument z różnymi warstwami i wysyła go do podpisu. Ofiara podpisuje cyfrowo widoczną warstwę dokumentu, ale gdy wraca on do nadawcy – ten zmienia ją na inną.
Ponieważ początkowo niewidoczna warstwa została zawarta w oryginalnym dokumencie podpisanym przez ofiarę, zmiana jej widoczności nie łamie podpisu kryptograficznego i pozwala atakującemu na wykorzystanie prawnie wiążącego dokumentu do niecnych działań. Takich jak zmiana odbiorcy płatności lub sumy w poleceniu zapłaty w formacie PDF czy zmiana klauzul umownych.
Istnieją trzy możliwe warianty Shadow Attack:
- Ukrycie – kiedy atakujący ukrywa warstwę, bez zastąpienia jej inną
- Zamiana – kiedy atakujący zastępuje oryginalną treść, zmodyfikowaną
- Ukrycie i zamiana – kiedy atakujący używa innego dokumentu PDF zawartego w oryginalnym, a następnie zamienia je ze sobą.
Naukowcy poinformowali producentów aplikacji do tworzenia i modyfikacji PDF, aby mogli załatać podatności przed opublikowaniem wyników badań. Nowe wersje są już dostępne – zachęcamy wszystkie firmy do pilnej aktualizacji.