Si hasta ahora confiabas en la seguridad de los documentos PDF firmados (como la mayoría), Shadow Attacks no te va a hacer ninguna gracia. Y es que una investigación reciente llevada a cabo en la Universidad Ruhr de Bochum, Alemania, ha desvelado varias técnicas que, usadas por separado o en conjunto, permiten aplicar modificaciones a un documento, que su destinatario (la víctima) lo firme y, posteriormente, modificar su aspecto (algo en teoría imposible) para que la firma se aplique a algo distinto a lo que esa persona pensaba estar firmando.
Y es que, recordemos, una de las supuestas funciones de seguridad del formato PDF es que si un documento es firmado, ya no puede ser modificado de ninguna manera, precisamente porque la firma tiene valor legal en muchos contextos, y la manipulación de un documento rubricado no es legal. PDF cuenta con funciones para prevenir esos cambios y, en caso de que se produzcan, invalidar la firma. Eso es precisamente a lo que ataca Shadow Attacks.
Los investigadores han descubierto dos vulnerabilidades nuevas (ya habían encontrado otra en septiembre de 2019, la primera Shadow Attacks), identificadas como CVE-2020-9592 y CVE-2020-9596 y que permiten ocultar y/o reemplazar contenido en archivos PDF. Como ya indicaba anteriormente ambas acciones pueden llevarse a cabo de manera individual o combinada y, como ya indicaba anteriormente, no invalidan la firma.
Así, el esquema de un ataque con Shadow Attacks sería el siguiente: el atacante prepara un documento aprovechando estas vulnerabilidades, añadiendo tanto aquello que quiere que sea firmado por la víctima, como aquello que la victima creerá que está firmando. Entonces enviará el documento, que será firmado y devuelto, momento que el delincuente aprovechará para reajustar el PDF, de manera que muestre la parte hasta ahora oculta, en vez de la que permanecía visible.
La variante «Ocultar» de Shadow Attacks implica ocultar algo de contenido en un PDF detrás de otra capa, como una imagen de página completa.La variante «Reemplazar», por su parte, implica agregar un nuevo objeto, un objeto que se considera inofensivo pero que puede afectar la forma en que se presenta el contenido, a un documento firmado. Un ejemplo de ello sería reemplazar una tipografía por otra, algo que se puede traducir en un cambio de números y caracteres.
Los investigadores han realizado pruebas en 28 aplicaciones de visualización y firma de documentos PDF, descubriendo en sus pruebas que que 15 de ellas eran vulnerables a, al menos, una de las dos variantes de Shadow Attacks, incluidas las aplicaciones creadas por Adobe, Foxit y LibreOffice. Estas tres organizaciones ya han lanzado parches, pero muchos de los desarrolladores afectados no respondieron a los mensajes de los investigadores o no proporcionaron información sobre la disponibilidad de parches.
La entrada Shadow Attacks: cuando un PDF firmado no es seguro es original de MuySeguridad. Seguridad informática.
