Schwachstelle entdeckt

Inhalte von signierten PDFs unbemerkt veränderbar

(Bild: RUB, Marquard)

Forscher des Horst-Görtz-Instituts für IT-Sicherheit an der Ruhr-Universität Bochum haben eine neue Sicherheitslücke in der digitalen Signatur von PDF-Dokumenten entdeckt. Sie erlaubt es, den Inhalt von Dokumenten unbemerkt zu manipulieren. Milliarden Verträge weltweit sind damit einem Risiko ausgesetzt.

PDF-Signaturen werden verwendet, um wichtige Dokumente wie Rechnungen oder Verträge vor Veränderungen zu schützen. Seit 2014 die Regulierung zu „Electronic Identification, Authentication and Trust Services“ in Kraft getreten ist, spielen PDF-Signaturen eine wichtige Rolle in der Europäischen Union. Beispielsweise werden Verträge bei EU-Projekten digital signiert, in Österreich trifft das auch auf alle Gesetze zu. Unternehmen wie Amazon nutzen PDF-Signaturen, um ihre Rechnungen zu signieren. Der digitale Signierdienst von Adobe wurde laut Aussagen des Herstellers allein im Vorjahr acht Milliarden Mal verwendet.

Bereits 2019 hatten die Bochumer IT-Sicherheitsforscher darauf aufmerksam gemacht, dass Inhalte von PDF-Dokumenten trotz Signatur manipuliert werden können. Die Hersteller vieler PDF-Anwendungen hatten daraufhin Gegenmaßnahmen ergriffen. In ihrer aktuellen Studie zeigen die IT-Experten jedoch, dass sich Dokumenteninhalte dessen ungeachtet in vielen Programmen auf mehrere Weisen unbemerkt verändern lassen.

(Bild: ©cirquedesprit - stock.adobe.com)

Shadow Attacks
Details zu den Angriffen, die sie Shadow Attacks tauften, veröffentlichten die Wissenschaftler am Mittwoch auf der Webseite pdf-insecurity.org. Die Schwachstellen meldeten sie zuvor dem Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik. In welchen Anwendungen die Schwachstelle bereits behoben ist, kann auf der Website eingesehen werden.

Nach Bekanntwerden der 2019 beschriebenen Sicherheitslücken basierte eine weitverbreitete Gegenmaßnahme darauf, Nutzer über Veränderungen an einem signierten PDF-Dokument zu informieren. Die Veränderungen werden dabei in „potenziell gefährlich“ und „ungefährlich“ eingestuft. Die ungefährlichen und somit erlaubten Änderungen an den PDF-Dokumenten untersuchten die Forscher genauer.

Fast alle untersuchten Programme haben Schwachstellen
Die Experten nahmen dafür 28 populäre PDF-Dokumentenbetrachter für die Betriebssysteme Windows, MacOS und Linux unter die Lupe. Bei 15 Anwendungen fanden sie gravierende Schwachstellen: Nutzer erhielten keine Warnung, dass das Dokument verändert worden war. Weitere zehn Anwendungen zeigten zwar Hinweise an, stuften die getätigten Veränderungen aber nicht als Manipulation ein.

„Das Ergebnis ist alarmierend. Wir konnten Teile oder sogar das gesamte signierte Dokument manipulieren, ohne dass die Signaturprüfung diese Veränderung bemerkte“, sagt einer der vier an der Studie beteiligten Wissenschaftler, Vladislav Mladenov.

(Bild: ©mehaniq41 - stock.adobe.com)

Zweistufiger Angriff
Die Shadow Attacks erfolgen demnach in zwei Phasen. Während der Vorbereitung nutzt ein Angreifer Eigenschaften der PDF-Datenstruktur aus, um Inhalte unsichtbar im PDF zu verstecken - wie einen Schatten. Das vorbereitete Dokument legt er dann einem Signierer vor, zum Beispiel dem Vorgesetzten oder Konsortialpartner. Dieser möchte das Dokument - etwa eine Rechnung oder einen Vertrag - signieren und prüft in seiner PDF-Anwendung den angezeigten Inhalt. Für ihn sieht das Dokument einwandfrei aus, sodass er es digital unterschreibt. Aufgabe der digitalen Signatur ist es nun, den Inhalt der PDF-Datei vor Veränderungen zu schützen.

Anschließend erhält der Angreifer die signierte Datei und macht den ursprünglich platzierten, versteckten Inhalt sichtbar. In der Regel werden solche Änderungen am Dokument als ungefährlich eingestuft, weil kein neuer Inhalt hinzugefügt wird, sondern lediglich Inhalte aus dem signierten Bereich genutzt werden. Die Manipulation kann den angezeigten Inhalt des Dokumentes aber komplett verändern.

Drei „Schatten-Angriffe“ identifiziert
Das Team testete drei verschiedene Angriffsklassen. Bei der „Shadow Attack Hide“ werden die für die Opfer relevanten Inhalte hinter einer sichtbaren Schicht verborgen. Ein Angreifer könnte zum Beispiel den Text „Unterzeichnen Sie hier für Ihre Kündigung“ hinter einem ganzseitigen Bild verstecken, auf dem steht: „Unterzeichnen Sie hier, um den Bonus zu erhalten“.

Die Idee hinter der Angriffsklasse „Shadow Attack Replace“ ist es, dem signierten Dokument neue Objekte hinzuzufügen, die als harmlos gelten, aber die Darstellung des signierten Inhalts direkt beeinflussen. Beispielsweise verändert die (Neu-)Definition von Schriften den Inhalt nicht direkt; selbst-definierte Schriften erlauben es aber, Zahlen oder Buchstaben beliebig zu vertauschen.

Die Angriffsvariante „Shadow Attack Hide-and-Replace“ versteckt ein zweites, vollständig definiertes PDF-Dokument mit anderem Inhalt in dem sichtbaren Dokument.