Los investigadores Christian Mainka, Vladislav Mladenov y Simon Rohlmann, de la Universidad Ruhr de Bochum, han dado a conocer en el Simposio de Seguridad de Redes y Sistemas Distribuidos (NDSS), un nuevo tipo de ataque que afecta a la integridad de los archivos PDF firmados digitalmente.
El ataque, denominado “Sombra”, se aprovecha de la flexibilidad de la especificación PDF para reemplazar todo el contenido del PDF sin invalidar la firma. Afecta a 16 de los 29 visores PDF que los investigadores probaron; entre ellos, Adobe Acrobat y Foxit Reader.
Utilizaron las herramientas PDF-Attacker, que puede generar automáticamente ataques sombra; y PDF-Detector para evitar, de forma forense, exploits después de ser aplicados a PDF firmados. Con ellas generaron documentos sombra y probaron el PDF para su manipulación antes de su firme y después de su modificación.
La idea del ataque Sombra es que el atacante crean un documento PDF con dos contenidos diferentes: 1) contenido esperado por el firmante del PDF y 2) contenido oculto que el atacante pueden revelar después de que se firme el PDF. En un ataque Sombra, el atacante prepara un documento sombra. Los firmantes del PDF reciben el documento, lo revisan y lo firman. El atacante utiliza el documento firmado, lo modifica y lo envía a las victimas. Después de abrir el PDF firmado, el visor PDF de la víctima verifica con éxito la firma. Sin embargo, la víctimas ve un contenido diferente al del firmante.
Como el ataque sombra abusa de funciones legítimas, es más dificil su mitigación. Los investigadores comunicaron detalles del ataque a los fabricantes de software afectados y al CERT-Bund (BSI) al que proporcionaron un informe de vulnerabilidad, incluyendo los exploits.
Los PDF firmados digitalmente se utilizan en contratos y facturas para garantizar la autenticidad e integridad de su contenido. Un usuario que abre un PDF firmado espera ver una advertencia en caso de alguna modificación.
Más información de este nuevo tipo de ataque la puede consultar en el documento PDF de los investigadores: Shadow Attacks: Hiding and Replacing Content in Signed PDFs.