Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984

Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News
 

Die Manipulation von Dokumenten in der digitalen Welt soll durch sogenannte digitale PDF-Signaturen normalerweise verhindert werden - in der Theorie sind digital unterschriebene PDFs nicht mehr nachträglich änderbar, ohne dass diese durch die Signaturprüfung der PDF-Software bemerkt und gemeldet werden. Mit einem neuen, auf den Namen "Shadow Attacks" getauften, Angriffsschema hat das Team des Lehrstuhls für Netz- und Datensicherheit am Horst Görtz Institut der RUB nun erneut bewiesen, dass sich dieser Schutzmechanismus in der Praxis häufig aushebeln lässt.

Laut dem Forscherteam resultieren die neuen Schwachstellen aus Sicherheitsmechanismen, welche von Herstellern hinzgefügt wurden, nachdem das Forscherteam im Jahr 2019 erstmals Sicherheitslücken gemeldet hatte. Eine oft genutzte Gegenmaßnahme basiere seither auf der Einteilung von Veränderungen an signierten Dokumenten in "potenziell gefährlich" und "ungefährlich". Warnungen erfolgen lediglich beim Öffnen eines Dokuments mit "gefährlichen" Änderungen - die Einstufung liegt, so die Forscher, jedoch in manchen Fällen eher daneben.

Im ersten Schritt einer Shadow Attack wird ein PDF-Dokument, welches mit versteckten Inhalten präpariert wurde, zum Unterschreiben vorgelegt. Anschließend kann der Angreifer die Inhalte wieder sichtbar machen, ohne dass diese Änderung von der Signaturprüfung als unerlaubt oder gefährlich eingestuft wird. Drei verschiedene Shadow Attack-"Angriffsklassen" "Hide", "Replace" und "Hide-and-Replace" werden unterschieden, wobei nähere Details auf der von den Forschern veröffentlichten Website zu finden sind.

Insgesamt wurden die Shadow Attacks an 28 PDF-Programmen verschiedener Hersteller - etwa Adobe Acrobat Reader und Pro, Foxit Reader und PhantomPDF, Nitro Pro/Reader und LibreOffice Draw - getestet. Der Angriff war in 15 Fällen über mindestens eine Variante der drei entwickelten Angriffsklassen erfolgreich. Weitere 10 Produkte sind ebenfalls theoretisch manipulierbar, zeigten bei Durchführung eines Angriffs jedoch zumindest einen Hinweis bezüglich "erlaubter" Manipulation an. Nur drei Produkte für macOS – Master PDF Editor (Version 5.4.38, 64-Bit), PDF Editor 6 Pro (6.8.1.3450) und PDFelement (7.5.7.2895) – waren laut dem Forscherteam nicht angreifbar.

Die Schwachstellen CVE-2020-9592 und CVE-2020-9596 wurden über das CERT-Bund des BSI an die Hersteller gemeldet. In einigen Fällen wurden bereits abgesicherte Versionen veröffentlicht - diese sind auf einer Übersicht der Forscher zu finden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE