Ataques en la sombra permiten reemplazar contenido en archivos PDF firmados digitalmente

Investigadores han demostrado una nueva clase de ataques que podrían permitir a un actor malicioso eludir las contramedidas existentes y romper la protección de la integridad de los documentos PDF firmados digitalmente.

La técnica, denominada «ataques en la sombra» por académicos de la Universidad de Ruhr en Bochum, utiliza la «enorme flexibilidad proporcionada por la especificación PDF para que los documentos en la sombra sigan cumpliendo con los estándares».

Los hallazgos se presentaron ayer en el Simposio de seguridad de redes y sistemas distribuidos (NDSS), y 16 de los 29 visores de PDF probados, incluidos Adobe Acrobat, Foxit Reader, Perfect PDF y Okular, se encontraron vulnerables a los ataques en la sombra.

Para llevar a cabo el ataque, un actor malintencionado crea un documento PDF con dos contenidos diferentes: uno que es el contenido que espera la parte que firma el documento, y el otro, un contenido oculto que se muestra una vez que se firma el PDF.

«Los firmantes del PDF reciben el documento, lo revisan y lo firman», señalaron los investigadores. «Los atacantes utilizan el documento firmado, lo modifican levemente y lo envían a las víctimas. Después de abrir el PDF firmado, las víctimas comprueban si la firma digital se verificó correctamente. Sin embargo, las víctimas ven un contenido diferente al de los firmantes».

En el mundo analógico, el ataque equivale a dejar deliberadamente espacios vacíos en un documento en papel y conseguir que la parte interesada lo firme, permitiendo en última instancia que la contraparte inserte contenido arbitrario en los espacios.

Los ataques en la sombra se basan en una amenaza similar ideada por los investigadores en febrero de 2019 , que descubrió que era posible alterar un documento firmado existente sin invalidar su firma, lo que hace posible falsificar un documento PDF.

Aunque los proveedores han aplicado desde entonces medidas de seguridad para solucionar el problema, el nuevo estudio tiene como objetivo ampliar este modelo de ataque para determinar la posibilidad de que un adversario pueda modificar el contenido visible de un PDF firmado digitalmente sin invalidar su firma, asumiendo que puede manipular el PDF. antes de que se firme.