Actualités

Shadow attack : vulnérabilité exploitable au sein des documents PDF avec signature !

Comme pour certains formulaires administratifs, la vulnérabilité Shadow attack permet de recueillir illégitimement la signature de la victime depuis le document PDF via un système de calques, selon l’équipe sécuritaire de l’Université de Ruhr (Bochum, Allemagne).

 

 

Il s’agirait d’un exploit déjà existant depuis 2019 qui aurait été “étendu” par les chercheurs allemands avec, en plus, des accès lecture-écriture depuis un document PDF accompagné d’une signature. Une fois la signature détournée, deux vues, comme un univers parallèle, se profile : la vue-utilisateur (victime) qui voit son document tel quel et la vue-détournée (hacker, pirate) avec les vrais documents qui ont, en réalité, été signés ou qui seront signés du fait du détournement ainsi opéré. L’attaquant dispose, principalement et selon ce qui est officiellement démontré dans ce rapport, de trois outils :

 

  • Hide (cacher) : dissimuler le contenu par le truchement d’une large bannière. A noter que si le message ou objet est caché, si l’utilisateur est soupçonneux ou curieux, le message reste intégré dans le document PDF : une simple recherche par mot-clé, par vérification depuis le logiciel dédié, permet d’afficher le résultat-recherche. Deux variantes ont été repérés : une fonction permettant de cacher le contenu ou objet depuis une page ainsi créée ou via un Xref (principalement, depuis la modification – tronquée – d’une table actualisée dans ce dessein) ;

 

  • Replace (remplacer) : le document légitime (premier “exemplaire” du genre) est signé par la victime ciblée (second exemplaire, version) puis détourné par la personne ou groupe malveillant (troisième version) via une création détournée du PDF originel. Du fait que, par rapport à une page HTML, “il n’y a pas de différence visible entre l’indice et la valeur réelle“, les champs peuvent être changés, modifiés. L’exemple ci-dessus démontre un formulaire PDF de donation en faveur d’un organisme (gauche) puis détourné frauduleusement pour une donation… envers la personne qui détourne le document. Une autre technique peut être exploitée depuis “une nouvelle description de police” en écrasant la précédente, depuis la police de référence définie dans le document ;

 

  • Hide and Replace (cacher et remplacer) : deux objets sont crées (avec le même identifiant, côté algorithme) dont l’image tronqué, malveillante du document PDF. Une fois le document signé numériquement une table Xref est créée. L’ensemble du document est ainsi modifiable en plus de dissimuler toute ou une partie de son contenu. Il est noté que ce remplacement brut massif peut s’avérer néfaste pour le détournement lui-même : en effet, un champ ou objet “inutilisé” est effacé, ce qui peut créer dans le cadre de cette attaque, un impact moindre voire nulle de ladite attaque.

 

Bien évidemment, l’ensemble des logiciels ou applications de signatures numériques est touché : très largement impactées, les solutions Acrobat Reader DC et Acrobat Pro 2017 d’Abobe, PDF Editor 6 Pro, PDF Element, Perfect PDF 8 Reader, Perfect PDF 10 Premium, Foxit Reader et Power PDF Standard sont pointés du doigt sous Windows. D’autres comme PDF Architect 7 ou, entre-autres, LibreOffice Draw sont impactés de manière “limitée“. Enfin, aucun impact observés pour les logiciels suivants (uniquement sous macOS) : Master PDF Editor, PDF Editor 6 Pro et PDF Element. Les failles sont assignées CVE-2020-9592 et CVE-2020-9596.

Des correctifs sont disponibles (il suffit, selon son ou ses lecteurs PDFs, de migrer le(s) logiciel(s) vers la dernière version) : concernant Adobe, la version minimum requise actuelle est 20.009.20063 mais si l’on est curieux ou observateur, on remarque qu’une mise à jour est disponible (ou déjà installée via les mises à jour automatiques Windows, par exemple) depuis le 6 Juillet dernier. Il s’agit d’une rustine “hotfix” qui s’incarne via la version 20.009.20074. Enfin, à noter que les chercheurs préconisent l’ajout d’un “avertissement” visuel – qui obligerait une nouvelle signature – lors d’une modification (avenant) de contrat, surtout quand il s’agit d’un contrat entre plusieurs parties… A veiller !

 

Source : Université de Ruhr Bochum (RUB) – Mars 2020 – Shadow Attack : contournement des PDFs signés avec plusieurs niveaux (modification et / ou remplacement de données).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020