bet9官方
2020年7月27日

bet9官方研究:27款PDF阅读程序中有15款可能遭受影子攻击

作者 逍遥子

bet9官方一群专门研究PDF程序安全漏洞的研究人员在本周揭露了新的影子攻击(Shadow Attacks)手法,bet9官方可窜改已被签章的PDF文件,在所检测的27款桌面PDF程序中,就有15款至少含有一个相关漏洞。

研究人员解释,bet9官方相关攻击的概念是黑客可在一个PDF档案中建立两种不同的内容,在负责签章的使用者收到PDF档案,检查并签署它之后,照理说该档案就无法再被窜改;假设档案被变更了,那么PDF程序会分析这些已采用数字签名之后才被变更的内容,以判断相关的变更是否合法,例如不得覆盖页面上的内容等;然而,有些变更会被这些PDF程序视为无害的,断定签章依然有效,而且不会祭出任何警告,这使得他们进一步找到如何滥用这些合法变更的功能,窜改已签章PDF档案的内容。

该团队已经打造出不同形式的影子攻击,分别是把内容藏在已签章的PDF文件中,或是置换已签章PDF文件的内容,以及隐藏及置换已签章PDF文件的内容。

以藏匿型的攻击来说,黑客可以把「你被开除了」的文字,藏匿在「签名就能获得奖励」的图片后面,只要该档案是透过在线签章服务签署,而且受害者透过关键词来搜寻文件,就能找到黑客所藏匿的文字。

在置换内容的攻击上,则是把被视为无害的对象加在已签章的PDF档案中,但却可直接影响PDF档案的内容呈现。例如变更字型有时便会造成数字或字符的不同,bet9官方或是滥用其交互式窗体功能,让受害者看到不同的数值。

而隐藏暨置换的攻击手法则是最强大的,它可让已签署的PDF文件内含一个拥有完全不同内容的隐藏文件,该隐藏文件从每一页的内容到文件页数,可能都跟原始文件不同。

研究人员在今年3月就陆续通报各家PDF程序开发者,目前确定的是Adobe已修补了影子攻击所开采的CVE-2020-9592与CVE-2020-9596漏洞,其它PDF程序开发者亦可利用研究人员所释出的攻击程序进行测试bet9官方。

在所测试的27款PDF程序中,有15款至少含有一个完整的相关漏洞,至于完全不受影响的程序只有3个,它们是macOS版的Master PDF Editor、PDF Editor 6 Pro与PDFelement。