Исследователям в области ИБ удалось подделать электронную подпись

В результате эксплуатации уязвимостей исследователям удалось подделать цифровую подпись в 21 из 22 программ для ПК и 5 из 7 онлайн сервисов. Уязвимости были найдены в Adobe Acrobat Reader, Foxit Reader и LibreOffice, online-сервисах DocuSign и Evotrust и других популярных программах.

В ходе исследования было обнаружено три новых класса атак на цифровые подписи в  PDF:

• Подделка универсальной подписи (USF);
• Инкрементная атака сохранения (ISA);
• Атака с помощью «заворачивания» подписи (SWA).

Основная идея Universal Signature Forgery (USF) заключается в том, чтобы манипулировать метаинформацией в подписи таким образом, чтобы приложение просмотра открывало PDF-файл, находило подпись, но не могло найти все необходимые данные для ее проверки.

Вместо того, чтобы рассматривать отсутствующую информацию как ошибку, приложение показывает, что содержащаяся подпись допустима. Например, злоумышленник может управлять содержимым или значениями ByteRange в объекте Signature.

Атака может казаться тривиальной, но даже очень хорошие программы для цифровой подписи документов, такие как Adobe Reader DC, предотвращающие все другие атаки, являются восприимчивыми к USF.

Инкрементная атака сохранения (ISA) использует особенность спецификации PDF, которая позволяет обновлять PDF-файл путем добавления изменений. Эта функция используется, например, для хранения аннотаций в PDF или для добавления новых страниц при редактировании файла.

Основная идея ISA заключается в использовании той же техники для изменения элементов, таких как тексты или целые страницы, включенные в подписанный PDF-файл, на то, что злоумышленник сочтет нужным.

Атака с помощью «заворачивания» подписи (SWA)сходна с ISA, где вредоносный код также содержит дополнительную логику для обмана процесса подтверждения подлинности подписи. С ее помощью механизм валидации подписи «заворачивается» вокруг добавленного злоумышленником дополнительного контента и успешно подписывает обновление.