Forscher des Lehrstuhls für Netz- und Datensicherheit am Horst Görtz Institut der Ruhr-Universität Bochum entdeckten sicherheitsrelevante Defizite in den Signaturprüfungen zahlreicher pdf-Programme. Interessant ist, dass das Forscherteam bereits im Jahre 2019 derartige Schwachstellen nachwies. Und die neuen Sicherheitslücken fanden sich gerade bei den neu hinzugefügten Elementen. Die neue Angriffsvariante namens “Shadow Attacks” zielt nicht wie zuvor auf eine Verschlüsselung, sondern auf die Inhalte des Dokuments.
Verschiedene Angriffsvarianten bei Shadow Attacks
Die Wissenschaftler bezeichneten die Angriffstechnik als „Shadow Attack“, auf deutsch „Schattenangriff“. Mit dieser Technik legen sich innerhalb eines pdf-Dokuments verschiedene Ebenen übereinander. Dabei signiert das Opfer auf einer Ebene, es kommt aber eine weitere hinzu, ohne dass die kryptografische Signatur dabei Schaden erleidet.
Das Forscherteam unterschied drei Varianten der Shadow Attacks: Ausblenden, Ersetzen sowie eine Kombination aus Ausblenden und Ersetzen.
Anwender-Updates der pdf-Software dringend nötig!
Im Zuge derartiger Shadow Attacks ist es möglich, Zahlungsempfänger oder Vertragstexte auszutauschen. Demnach geht die erhöhte Sicherheit verloren, die digitale Dokumente gegenüber solchen auf Papier bieten sollen. In den Untersuchungen des Forscherteams erwiesen sich 15 von 28 Programmen – zum Teil von renommierten Software-Unternehmen – als anfällig für Shadow Attacks. Weitere Programme zeigten sich ebenfalls manipulierbar.
Sie gaben dem Nutzer einen Hinweis, der jedoch nicht zwingend als Warnung interpretiert wurde. Es erfolgte eine Mitteilung via CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik an die Software-Hersteller im Zuge eines Responsible-Disclosure-Prozesses. Die zugewiesenen CVE-Nummern lauten CVE-2020-9592 und CVE-2020-9596.
Inzwischen stellten verschiedene Hersteller Software-Patches bereit, sodass Anwender sich vor den Shadow Attacks schützen können. Dazu gehöre diverse Programmvarianten von Adobe. Aber auch von Libre Office, Foxit und SodaPDF gibt es Updates, die diese Sicherheitslücke schliessen. Leider gibt es aber auch Firmen, die bislang noch nicht reagierten beziehungsweise trotz mehrfacher Kontaktversuche der Forscher noch nicht antworteten. Wichtig ist, dass Anwender sich informieren und ausschliesslich sichere Software verwenden.
Unser Fazit zu den Shadow Attacks
Die Digitalisierung und damit einhergehende Prozesse haben ihre Tücken. So bringt der vermeintliche Fortschritt neue Gefahren mit sich. Es fällt zwar weniger Papierkram an, dafür gibt es nun Cyberangriffe wie die Shadow Attacks. Und die gehen unter Umständen richtig ins Geld.
Da nicht alle Software-Hersteller auf dem neusten Stand sind, sollten Anwender darauf achten, dass zumindest sie es sind. Bleiben Sie mit dataloft und unserem Blog immer auf dem Laufenden!