2021-03-14 15:32:07
Подробности реализации теневых атак на PDF-документы.
Позволяют изменять визуальное содержимое
подписанных электронной подписью
PDF, не
"ломая" при этом саму
подпись.
Реализуются следующим образом. Злоумышленник создает документ с
двумя различными содержаниями: первое - содержимое, которое ожидается стороной,
подписывающей документ, второе - то, что должна увидеть
жертва при открытии. В
PDF также вставляется вредоносный
JS-код, отвечающий за подмену
легитимного содержимого и биндится, например, на
закрытие файла.
Сторона, отвечающая за
подпись, открывает файл, видит легитимное содержимое, и
подписывает его. Перед самым закрытием, срабатывает код и подменяет
визуальное содержимое на то, что увидит жертва.
PDF-файл отправляется
обратно к злоумышленнику и тот использует его уже
по своему назначению.
Подробности
публично представлены в феврале. Подвержены
16 средств для просмотра PDF, в том числе
Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
280 views12:32