iText – Investigación de los ataques de sombra de PDF: ¿Qué son los ataques de sombra?

(Parte 1)

Los PDF Shadow Attacks son una nueva clase de vulnerabilidades de seguridad para PDF. En caso de que necesite un tldr; entonces tenga la seguridad de que iText es inmune a los ataques publicados. Sin embargo, también descubrimos que iText 7 podría utilizarse para detectar documentos potencialmente maliciosos, lo que resulta en esta serie de publicaciones. En este primer artículo, echaremos un vistazo al concepto de PDF Shadow Attacks y las tres formas que pueden tomar.

INVESTIGACIÓN DE LOS ATAQUES DE SOMBRA DE PDF: ¿QUÉ SON LOS ATAQUES DE SOMBRA? (PARTE 1)

 

Los PDF Shadow Attacks son una nueva clase de vulnerabilidades de seguridad para PDF. En caso de que necesite un tldr; entonces tenga la seguridad de que iText es inmune a los ataques publicados. Sin embargo, también descubrimos que iText 7 podría utilizarse para detectar documentos potencialmente maliciosos, lo que resulta en esta serie de publicaciones. En este primer artículo, echaremos un vistazo al concepto de PDF Shadow Attacks y las tres formas que pueden tomar.

El 22 de julio de 2020, un equipo de investigadores de seguridad que investigaba problemas relacionados con el cifrado de PDF y las firmas digitales, anunció una nueva serie de vulnerabilidades que denominaron PDF Shadow Attacks. Estos hallazgos siguen a los resultados anteriores de 2019, cuando anunciaron el descubrimiento de deficiencias en las validaciones de firmas de PDF en el software de procesamiento de PDF. A diferencia de las vulnerabilidades anteriores, los ataques en la sombra no son de naturaleza criptográfica, sino que están situados en el ámbito visual de PDF.

Lo primero es lo primero, aunque la situación general no es demasiado bonita, ahora podemos decir con seguridad que nuestros productos no se ven afectados por estos nuevos ataques de las sombras. Invitamos a Michael Klink, experto independiente en PDF y principal colaborador de StackOverflow, como consultor técnico para examinar nuestra oferta actual de productos a la luz de esta nueva investigación. Baste decir que tenemos un certificado de buena salud.

Como resultado de la colaboración de iText con Michael Klink, estamos publicando una serie de publicaciones de blog dedicada a PDF Shadow Attacks. En particular, queremos resaltar cómo iText puede convertirse en un activo invaluable para hacer una defensa en profundidad. Le mostraremos cómo desarrollar heurísticas de detección para su uso en los flujos de trabajo de sus documentos a la luz de estos ataques.

ROMPIENDO FIRMAS PDF REVISADAS

Los ataques de 2019 requirieron que un atacante interceptara de alguna manera un documento que ya había sido firmado previamente. Los investigadores demostraron métodos para manipular archivos PDF sin que se informara que los documentos habían sido manipulados.

Como analogía, podría comparar los ataques anteriores con el fraude por correo de facturas, donde los estafadores interceptan una factura legítima, solo para cambiar meticulosamente los detalles de pago. Luego, se engaña a la víctima haciéndole creer que la factura es auténtica, solo para pagar al atacante en lugar del vendedor. Del mismo modo, con los ataques a las firmas digitales de 2019, un pirata informático tuvo que hacerse con un documento PDF que ya había sido firmado para poder cambiarlo después del hecho.

Ahora lo ves … ahora no lo ves

Mientras que los ataques de 2019 aprovecharon las debilidades en los algoritmos de validación de firmas de los visores de PDF, los ataques de 2020 apuntan a los algoritmos para analizar cambios entre revisiones de documentos. En esta publicación de blog, echaremos un vistazo a los trucos de presentación involucrados en los PDF Shadow Attacks. Veremos las diferentes formas en que se pueden modificar los PDF después de firmar para engañar a los lectores de PDF para que muestren contenido que se ve diferente al que se firmó. Dado que iText se encuentra en el otro extremo del espectro de PDF de los espectadores, la cuestión de la vulnerabilidad no está realmente en juego para iText 7, simplemente no es vulnerable a esta clase de ataques.

Con estas nuevas vulnerabilidades, los atacantes ahora pueden crear documentos hechos a medida para engañar a sus víctimas involuntarias para que firmen algo, mientras que, de hecho, podrían estar firmando algo completamente diferente.

En esencia, los Shadow Attacks permiten a los actores con intenciones maliciosas utilizar un juego de manos de presentación: lo que un usuario parece firmar a primera vista solo corresponde al contenido visible del documento PDF. Sin embargo, algunos elementos adicionales del documento, que en este momento son invisibles para el usuario involuntario, también se firman junto con el resto del documento. Dado que todo lo que le queda a un atacante es modificar la apariencia visual después de que se haya firmado, su vida se hace mucho más fácil.

Los investigadores identificaron tres métodos distintos para falsificar documentos, todos ellos basados ​​en peculiaridades en los aspectos de presentación de PDF. El contenido previamente invisible dentro del documento firmado se puede hacer visible posteriormente manipulando el documento para ocultarlo o reemplazarlo, o mediante una combinación de ambos. De esta manera, se puede hacer creer a una víctima que ha aceptado algo diferente a lo que firmó originalmente.

Los investigadores presentaron tres enfoques para tales ataques, que se denominan acertadamente «Ocultar», «Reemplazar» y «Ocultar y reemplazar».

ESCONDER

En el caso del ataque "Ocultar", el contenido que el atacante quiere mostrar finalmente ya está dibujado en la página del documento original, pero luego está cubierto por otra cosa, por ejemplo, una imagen de mapa de bits. La manipulación posterior a la firma hace que la imagen ya no se muestre, lo que hace que el contenido previamente oculto se vuelva visible. Dependiendo de cómo lo hicieron los investigadores, varios espectadores no reconocieron un cambio relevante para informar.

REEMPLAZAR

En el caso del ataque "Reemplazar", se agregan nuevos objetos al documento firmado que los validadores consideran inofensivos, pero que indirectamente provocan cambios en el contenido mostrado.
Por ejemplo, los campos de formulario de texto tienen un valor almacenado internamente y una definición de apariencia para mostrar realmente un valor. En un escenario de ataque, el atacante puede preparar el documento original con una definición de apariencia que muestra un valor diferente al almacenado internamente. El firmante ve el valor de la apariencia y los signos. Más tarde, el atacante agrega una nueva definición de apariencia que muestra el valor almacenado internamente. Como esta nueva apariencia muestra el valor almacenado internamente, este cambio por parte de algunos espectadores se considera inofensivo.

Los investigadores observaron que Adobe Acrobat Reader actuó con cautela en el caso de este tipo de ataque, pero al final resultó vulnerable. Al encontrar una nueva definición de apariencia adjunta al documento firmado, Adobe Reader no confió en él, sino que creó otra más basada en el valor almacenado internamente. Dado que este valor se había establecido como parte de la preparación del ataque original, Adobe Reader también mostró el valor almacenado internamente que el firmante nunca quiso firmar, sin ninguna advertencia.

OCULTAR Y REEMPLAZAR

Finalmente, en el caso del ataque "Ocultar y reemplazar", el atacante prepara el documento original para que contenga dos versiones diferentes del mismo objeto, por ejemplo, un objeto de página. La versión que mostrará un visor de PDF depende de la versión a la que se hace referencia en el mapeo de referencia cruzada del PDF: aquí, los números de objeto utilizados en el PDF se asignan a compensaciones en el archivo donde un visor de PDF buscará los detalles reales de ese objeto.

Por lo tanto, el firmante solo ve el contenido de la versión del objeto a la que se hace referencia a partir de las referencias cruzadas del documento original. El ataque ahora simplemente agrega un nuevo mapeo de referencia cruzada al documento, esta vez haciendo referencia a la otra versión del objeto objetivo. Como el objeto ahora referenciado también está en la revisión del documento original, firmado y tiene el número de objeto correcto, muchos espectadores no vieron ninguna razón para mostrar una advertencia, aunque las diferentes versiones del objeto pueden hacer que el documento se vea muy diferente después de la manipulación.

Conclusión

Con esto concluye nuestra primera publicación de esta serie que analiza los PDF Shadow Attacks. Hemos ofrecido una breve descripción de los diferentes tipos de ataques de sombras descubiertos por los investigadores, así como también hemos abordado su naturaleza visual. Esto es esencialmente lo que distingue a los ataques en la sombra del conjunto anterior de vulnerabilidades criptográficas. En la próxima publicación de esta serie, analizaremos más de cerca las actualizaciones incrementales, una característica de PDF que es fundamental en la ejecución de estos ataques. Además, analizaremos la construcción de una heurística para detectar documentos potencialmente maliciosos con contenido oculto o manipulado en la parte posterior. ¡Mantente sintonizado para más!

Ver parte 2 de este artículo

Ver parte 3 de este artículo

¿Aún tienes preguntas?

Si está interesado en obtener más información o tiene preguntas adicionales, contáctenos

 

Publicaciones originales:

https://itextpdf.com/en/blog/technical-notes/investigating-pdf-shadow-attacks-what-are-shadow-attacks-part-1

https://itextpdf.com/en/blog/technical-notes/investigating-pdf-shadow-attacks-depth-pdf-security-using-itext-part-2

https://itextpdf.com/en/blog/technical-notes/investigating-pdf-shadow-attacks-depth-pdf-security-using-itext-part-3

Características

Descubra todas las funciones de PDF disponibles en iText 7 Suite en comparación con iText 5.

¿Necesita ayuda? Seleccione uno de nuestros expertos en seguridad