Công bố các kỹ thuật tấn công mới có thể thay thế nội dung các file PDF đã ký số

Các nhà nghiên cứu từ Đại học Ruhr Bochum Đức đã tiết lộ các phương thức tấn công mới vào các file PDF đã được ký số.

​

Với tên gọi Shadow Attacks, các kỹ thuật mới cho phép tin tặc ẩn và thay thế nội dung trong tài liệu PDF đã ký mà không làm vô hiệu chữ ký. Tin tặc có thể tạo một tài liệu với hai nội dung khác nhau, một nội dung mà người ký thấy và một nội dung khác mà người nhận tài liệu thấy được.

Các nhà nghiên cứu đã thử nghiệm 28 ứng dụng xem PDF và phát hiện 15 ứng dụng tồn tại lỗ hổng trước các cuộc tấn công, bao gồm các ứng dụng của Adobe, Foxit và LibreOffice. Ba công ty này đã phát hành bản vá nhưng nhiều hãng cung cấp bị ảnh hưởng không phản hồi tin nhắn của các nhà nghiên cứu hoặc không cung cấp thông tin thời gian tung ra bản vá.

Chính các nhà nghiên cứu tại Đại học Ruhr Bochum trước đó đã tiết lộ các phương pháp để “phá khóa” chữ ký file PDF và thay đổi trái phép trên các tài liệu đã ký. Hiện tại họ đã công khai ba cách thức tấn công mới vào chữ ký số trên PDF.

Các tổ chức và cá nhân - bao gồm các chính phủ, nhà nghiên cứu và doanh nghiệp - thường ký số các tài liệu PDF để ngăn chặn các thay đổi trái phép. Nếu ai đó sửa đổi tài liệu đã ký, chữ ký sẽ trở nên vô hiệu.

Tuy nhiên, các nhà nghiên cứu tại Đại học Ruhr Bochum đã đưa ra ba phương thức của kỹ thuật tấn công Shadow Attacks mà hacker có thể lợi dụng để ẩn hoặc thay thế hoặc cả ẩn và thay thế nội dung trong file PDF. Các lỗ hổng được đặt tên là CVE-2020-9592 và CVE-2020-9596.

Phương thức Hide (Che giấu) của Shadow Attacks có thể ẩn một số nội dung trong file PDF sau một lớp khác như hình ảnh toàn trang. Theo kịch bản tấn công mà các chuyên gia mô tả, hacker gửi cho người ký tài liệu hình ảnh một thông điệp hấp dẫn hoặc vô hại trên đầu nội dung mà họ muốn ẩn. Khi tài liệu đã được ký và gửi lại cho kẻ tấn công, chúng có thể thao tác trên file để hình ảnh bị ẩn bởi trình xem PDF trở nên hiển thị.

Phương thức tấn công Replace (Thay thế) gắn thêm một đối tượng mới được coi là vô hại nhưng có thể ảnh hưởng đến cách trình bày nội dung trên tài liệu đã ký.

Ví dụ, thay đổi phông chữ không trực tiếp thay đổi nội dung file. Tuy nhiên, nó ảnh hưởng đến chế độ xem nội dung được hiển thị và có thể hoán đổi các số thứ tự hoặc ký tự.

Theo các nhà nghiên cứu, phương thức tấn công mạnh nhất là “Hide-and-Replace” (Che giấu và Thay thế) có thể cho phép kẻ tấn công thay đổi toàn bộ nội dung của tài liệu đã ký. Trong cuộc tấn công này, hacker chèn nội dung ẩn và nội dung hiển thị vào tài liệu bằng cách sử dụng hai đối tượng có cùng ID và gửi tới người dùng. Khi nạn nhân nhận được tài liệu đã ký, kẻ tấn công sẽ thêm một bảng Xref mới và một Trailer mới để hiển thị nội dung đã ẩn thay cho nội dung mà nạn nhân thấy trước khi ký vào tài liệu.

Theo Securityweek​