นักวิจัยพบวิธีการใหม่สามารถโจมตีเอกสาร PDF ที่ทำ Digital Signed

แม้ว่าการทำ Digital Signature ให้เอกสารจะช่วยให้เรามั่นใจได้ว่าเอกสารนั้นไม่ได้ถูกเปลี่ยนแปลง แต่วันนี้ทีมนักวิจัยจาก Ruhr-University Bochum ได้ค้นพบวิธีการที่ชื่อ ‘ShadowAttack’ ซึ่งสามารถเปลี่ยนเนื้อหาใน PDF ที่ถูก Signed ได้

ไอเดียของ ShadowAttack คือคนร้ายจะสามารถซ้อนเลเยอร์ของเอกสารไว้ ภายในชุดเอกสารและส่งไปให้เหยื่อทำ Digital Signed ซึ่งเหยื่อจะเห็นเนื้อหาที่ถูกต้อง จากนั้นพอคนร้ายได้เอกสารกลับมาก็สามารถสับเปลี่ยนเลเยอร์ของเนื้อหาเข้ามาได้ (รูปด้านบน) นั่นหมายถึงวิธีการนี้ไม่ได้ Break เรื่องการเข้ารหัส แต่เป็นการซ่อนเนื้อหาอันตรายไว้แต่แรกผ่าน ‘Unused PDF Object’ อย่างไรก็ดีถ้าหาก PDF Application มีการกำจัดส่วน Unused Object ออกไปวิธีการนี้ก็ใช้ไม่ได้แล้ว

โดย ShadowAttack ส่งผลกระทบต่อแอปพลิเคชัน PDF Viewer 15 จาก 28 รายการที่นักวิจัยใช้ทดลองเช่น Adobe Acrobat Pro/ Reader, Perfect PDF, Foxit Reader และอื่นๆ ตามภาพตารางด้านล่าง (นักวิจัยได้แบ่งการโจมตีเป็น 3 แบบคือ Hide, Replace และ Hide-and-Replace ภาพประกอบด้านบน ) ปัจจุบันมีการแจ้งเตือน Vendor ต่างๆ ออกไปแล้ว รวมถึงช่องโหว่ยังได้รับเลขหมายอ้างอิงแล้วคือ CVE-2020-9592 และ CVE-2020-9596 ซึ่งคาดว่าจะมีแพตช์มาให้ผู้ใช้งานอัปเดตกันเร็วๆ นี้

ผู้สนใจสามารถติดตามงานวิจัยเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/new-shadow-attack-can-replace-content-in-digitally-signed-pdf-files/