31. Dez. 2020
Für Behörden, Firmen und Privatpersonen sind das alarmierende Nachrichten: Maßnahmen zum Schutz von PDF-Dokumenten bleiben partiell vollkommen wirkungslos.
Eine neue Sicherheitslücke in der digitalen Signatur von PDF-Dokumenten
haben Forscher des Horst-Görtz-Instituts für IT-Sicherheit (HGI) der
Ruhr-Universität Bochum gefunden. PDF-Signaturen werden verwendet, um
wichtige Dokumente wie Rechnungen oder Verträge vor Veränderungen zu
schützen. Bereits 2019 hatte die Gruppe darauf aufmerksam gemacht, dass
Inhalte von PDF-Dokumenten trotz Signatur manipuliert werden können. Die
Hersteller vieler PDF-Anwendungen hatten daraufhin Gegenmaßnahmen ergriffen.
In der aktuellen Studie zeigen die IT-Experten, dass sich Dokumenteninhalte
trotzdem in vielen Programmen auf mehrere Weisen unbemerkt verändern lassen.
Details zu den Angriffen, die sie Shadow Attacks tauften, veröffentlichten
die Wissenschaftler bereits am 22. Juli 2020 auf der Webseite
https://pdf-insecurity.org/.
Die Schwachstellen meldeten sie zuvor dem
Computer Emergency Response Team des Bundesamts für Sicherheit in der
Informationstechnik. In welchen Anwendungen die Schwachstelle bereits
behoben ist, kann online eingesehen werden
(https://pdf-insecurity.org/signature-shadow/evaluation_2020.html).
Eine Übersicht aller getesteten und betroffenen Anwendungen ist online
einsehbar unter:
https://pdf-insecurity.org/signature-shadow/evaluation_2020.html.
Die Forscher überprüften 28 populäre PDF-Dokumentenbetrachter für die
Betriebssysteme Windows, Mac-OS und Linux. Bei 15 Anwendungen fanden sie
gravierende Schwachstellen: Nutzerinnen und Nutzer erhielten keine Warnung,
dass das Dokument verändert worden war. Weitere zehn Anwendungen zeigten
zwar Hinweise an, stuften die getätigten Veränderungen aber nicht als
Manipulation ein. “Das Ergebnis ist alarmierend. Wir konnten Teile oder
sogar das gesamte signierte Dokument manipulieren, ohne dass die
Signaturprüfung diese Veränderung bemerkte”, sagt Vladislav Mladenov.
Die sogenannten Shadow Attacks erfolgen in zwei Phasen. Während der Vorbereitung nutzt
ein Angreifer Eigenschaften der PDF-Datenstruktur aus, um Inhalte unsichtbar
im PDF zu verstecken – wie einen Schatten. Das vorbereitete Dokument legt er
dann einem Signierer vor, zum Beispiel dem Vorgesetzten oder
Konsortialpartner. Dieser möchte das Dokument – etwa eine Rechnung oder
einen Vertrag – signieren und prüft in seiner PDF-Anwendung den angezeigten
Inhalt. Für ihn sieht das Dokument einwandfrei aus, sodass er es digital
unterschreibt. Aufgabe der digitalen Signatur ist es nun, den Inhalt der
PDF-Datei vor Veränderungen zu schützen.
Anschließend erhält der Angreifer die signierte Datei und macht den
ursprünglich platzierten, versteckten Inhalt sichtbar. In der Regel werden
solche Änderungen am Dokument als ungefährlich eingestuft, weil kein neuer
Inhalt hinzugefügt wird, sondern lediglich Inhalte aus dem signierten
Bereich genutzt werden. Die Manipulation kann den angezeigten Inhalt des
Dokumentes aber komplett verändern.