Actualités

PDFs : mise en lumière de deux nouvelles attaques permettant de contourner la sécurité des documents ! (y compris la signature…)

A nouveau, les universitaires de Bochum (Allemagne) ont frappé : toujours sur le même sujet et après, entre-autres, Shadow Attack, la certification PDF est au cœur de l’affaire insécuritaire. Au détour du 42ième IEEE Symposium on Security and Privacy (24-27 Mai 2021), un PoC a été soumis et a révélé, depuis fin 2020 (un patch ayant été déployé par la plupart des éditeurs, entre-temps), que sur les 26 applications ou logiciels PDFs testés, 24 étaient vulnérables…

 

 

Lors de l’utilisation de signatures de certification, la partie qui émet le document et le signe en premier peut déterminer les modifications que l’autre partie peut ensuite apporter. Par exemple, il est possible d’ajouter des commentaires, d’insérer du texte dans des champs spéciaux ou d’ajouter une deuxième signature numérique au bas du document. Le groupe Bochum a contourné l’intégrité des documents PDF protégés avec deux nouvelles attaques – appelées Sneaky Signature Attack (SSA) et Evil Annotation Attack (EAA). Les chercheurs ont ainsi pu afficher du faux contenu dans le document à la place du contenu certifié, sans que cela rende la certification invalide ou déclenche un avertissement de la part des applications PDF […] Les experts en sécurité informatique ont testé 26 applications PDF, dans 24 desquelles ils ont réussi à briser la certification avec au moins une des attaques. Dans 11 de ces applications, les spécifications des certifications PDF ont également été mises en œuvre de manière incorrecte “, est-il condensé, dans un communiqué du 25 Mai 2021, sur le site officiel de l’Université Ruhr-Bochum.

Au sein d’un papier technique plus détaillé, les deux vulnérabilités principales sont évoquées :

 

  • Sneaky Signature Attack (SSA) : possibilité de contourner les certifications PDFs de niveau 2 (saisie des champs + signature du document). Seule la signature représente un danger (d’exploit) potentiel : alors qu’il n’est pas permis de personnaliser les saisies-champ (taille, apparence…) pour injecter, par exemple, du code arbitraire, aucune condition similaire n’est réalisée pour le champ de la signature ce qui constitue une vulnérabilité majeure. Du fait de la variabilité de ce champ, un “nouveau contenu” peut être inséré de type malveillant. Il faut au préalable signer le PDF ce qui peut, en détail et d’ordinaire pour un utilisateur curieux, alerte de la manipulation. Les chercheurs ont trouvé un moyen de contourner cette vérification manuelle via une méthode-triple : masquer l’information (UI-Layer 2), ne pas rendre visible la validation de la signature frauduleuse et mettre le document PDF en lecture seule pour éviter d’éventuelles vérifications par l’utilisateur. Petite pépite (contournement) ultime : la duperie peut aller jusqu’à l’ajout d’un champ signature mais vide ;

 

  • Evil Annotation Attack (EAA) : possibilité de contourner les certifications PDFs de niveau 3 (annotations : ajout, modification et suppression + saisie des champs + signature du document). Trois types d’annotations (FreeText, Redact et Stamp : Champ libre, rédaction et estampillage-signature) représentent un danger qualifié de “élevé” contre onze pour celles représentant un danger “moyen“. Tout comme pour l’autre cyber-attaque, une recherche en manuel au sein du document malveillant pourrait alerter l’utilisateur (ouverture de l’annotation en question) bien qu’il est souligné que les annotations peuvent être verrouillées au préalable. Un contournement a été démontré par les chercheurs en permettant de ne pas ou prou définir la valeur /Subtypeis ce qui la rend invisible pour le lecteur PDF. De plus il est possible de personnaliser les annotations soulignées (en épaississant le trait par exemple) pour faire valider un document frauduleux (avec une somme erronée, imaginons…). Pour la partie ayant attrait à la rédaction, une nouvelle valeur (textuelle) peut prendre l’avant-plan par rapport au texte originel, depuis le paramètre /N (numéro d’objet). Presque tout, pour cette vulnérabilité et ces trois types d’annotations élevées est personnalisable.

 

Plus pernicieux encore, une autre cyber-attaque, découlant des exploits principaux ci-dessus, permet “d’injecter et d’exécuter du code JavaScript dans des documents certifiés“. En temps normal, le code JavaScript n’a, théoriquement et selon les avis tranchés, rien de malveillant : au sein de documents PDFs il permet de faire des transitions interactives ou de générer des ouvertures de documents, entre-autres. Bien évidemment, les exploits sous JavaScript (et sous Adobe notamment) ne sont pas nouveaux et depuis, l’éditeur ne permet un usage de certaines fonctions que lorsque celles-ci possèdent une permission à niveau de privilège élevé. Un verrouillage qui devrait théoriquement suffire ; sauf que non : les chercheurs sont partis du principe, en toute logique redoutable, que l’ensemble de la certification reliée au document PDF était de nature fiable. Dès lors, une exécution JavaScript malveillante peut potentiellement se produire : “supposons que l’EAA ou le SSA soit placé sur la première page du document PDF. Dans ce cas, l’exécution du code commence immédiatement après l’ouverture du document. L’objet référencé par/PO contient le code JavaScript. L’exemple suivant ouvre le site Web https://www.malicious.org/ à l’aide du navigateur par défaut du système. La victime est incapable d’empêcher cet appel. L’attaque ne se limite pas à l’appel d’un site Web, mais peut exécuter n’importe quel code JavaScript à privilèges élevés. La seule exigence est que la victime fasse entièrement confiance au certificat utilisé pour certifier le document PDF. Nous avons pu identifier un total de 117 méthodes JavaScript qui sont protégées par des restrictions de sécurité spéciales et, pour cette raison, ne peuvent être exécutées que dans un contexte privilégié“.

Les vulnérabilités ont été communiquées avec, concernant Adobe, Foxit et LibreOffice, le déploiement de correctifs, fin d’année 2020, via les bulletins CVE-2020-35931, CVE-2021-28545 et CVE-2021-28546. Concernant Adobe, la possibilité d’injecter du code JavaScript a été endiguée en Novembre 2020 via un correctif hors-cycle (CVE-2020-24432). Il est, enfin, indiqué que l’organisation internationale de normalisation (ISO) et l’organisation nationale allemande de normalisation (DIN) sont en train de revoir, conjointement avec les chercheurs universitaires, une norme actualisée de certifications pour les prochaines versions de lecteurs PDFs… A veiller !

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0