Forscher des Lehrstuhls für Netz- und Datensicherheit am Horst Görtz Institut der Ruhr-Universität Bochum entdeckten sicherheitsrelevante Defizite in den Signaturprüfungen zahlreicher PDF-Programme. Das Forscherteam hatte bereits 2019 ähnliche Schwachstellen nachgewiesen – die neuen Lücken fanden sich ausgerechnet bei den neu hinzugefügten Elementen. Die Angriffsvariante namens „Shadow Attacks“ zielt nicht auf die Verschlüsselung, sondern auf die Inhalte des Dokuments.
Verschiedene Angriffsvarianten bei Shadow Attacks
Die Wissenschaftler nannten die Technik „Shadow Attack“ – auf Deutsch „Schattenangriff“. Dabei legen sich innerhalb eines PDF-Dokuments verschiedene Ebenen übereinander. Das Opfer signiert auf einer Ebene, während eine weitere hinzukommt – ohne dass die kryptografische Signatur dabei Schaden nimmt.
Das Forscherteam unterschied drei Varianten: Ausblenden, Ersetzen sowie eine Kombination aus beidem.
Anwender-Updates der pdf-Software dringend nötig!
Shadow Attacks machen es möglich, Zahlungsempfänger oder Vertragstexte auszutauschen. Der Sicherheitsvorteil digitaler Dokumente gegenüber Papier ist damit hinfällig. In den Untersuchungen erwiesen sich 15 von 28 Programmen – darunter teils Software von renommierten Unternehmen – als anfällig. Weitere Programme zeigten sich ebenfalls manipulierbar.
Sie gaben dem Nutzer einen Hinweis, der jedoch nicht zwingend als Warnung wahrgenommen wurde. Die Meldung an die Software-Hersteller erfolgte über CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik im Rahmen eines Responsible-Disclosure-Prozesses. Die zugewiesenen CVE-Nummern lauten CVE-2020-9592 und CVE-2020-9596.
Inzwischen haben verschiedene Hersteller Patches veröffentlicht. Dazu gehören diverse Varianten von Adobe, aber auch LibreOffice, Foxit und SodaPDF stellen Updates bereit, die diese Lücke schliessen. Einige Firmen haben bisher nicht reagiert – trotz mehrfacher Kontaktversuche der Forscher. Informiere dich, welche Software du verwendest, und halte sie aktuell.
Shadow Attacks zeigen: PDF-Signaturen sind kein Freifahrtschein
Die Digitalisierung bringt echte Vorteile – und echte Angriffsflächen. Weniger Papierkram, dafür Angriffe wie die Shadow Attacks. Und die können teuer werden.
Weil nicht alle Hersteller nachgezogen haben, liegt es an dir: Prüf, ob deine PDF-Software auf dem aktuellen Stand ist. Bleib mit dataloft und unserem Blog auf dem Laufenden.