ADPT

นักวิจัยพบวิธีการใหม่สามารถโจมตีเอกสาร PDF ที่ทำ Digital Signed

แม้ว่าการทำ Digital Signature ให้เอกสารจะช่วยให้เรามั่นใจได้ว่าเอกสารนั้นไม่ได้ถูกเปลี่ยนแปลง แต่วันนี้ทีมนักวิจัยจาก Ruhr-University Bochum ได้ค้นพบวิธีการที่ชื่อ ‘ShadowAttack’ ซึ่งสามารถเปลี่ยนเนื้อหาใน PDF ที่ถูก Signed ได้

credit : Zdnet

ไอเดียของ ShadowAttack คือคนร้ายจะสามารถซ้อนเลเยอร์ของเอกสารไว้ ภายในชุดเอกสารและส่งไปให้เหยื่อทำ Digital Signed ซึ่งเหยื่อจะเห็นเนื้อหาที่ถูกต้อง จากนั้นพอคนร้ายได้เอกสารกลับมาก็สามารถสับเปลี่ยนเลเยอร์ของเนื้อหาเข้ามาได้ (รูปด้านบน) นั่นหมายถึงวิธีการนี้ไม่ได้ Break เรื่องการเข้ารหัส แต่เป็นการซ่อนเนื้อหาอันตรายไว้แต่แรกผ่าน ‘Unused PDF Object’ อย่างไรก็ดีถ้าหาก PDF Application มีการกำจัดส่วน Unused Object ออกไปวิธีการนี้ก็ใช้ไม่ได้แล้ว

credit : Zdnet

โดย ShadowAttack ส่งผลกระทบต่อแอปพลิเคชัน PDF Viewer 15 จาก 28 รายการที่นักวิจัยใช้ทดลองเช่น Adobe Acrobat Pro/ Reader, Perfect PDF, Foxit Reader และอื่นๆ ตามภาพตารางด้านล่าง (นักวิจัยได้แบ่งการโจมตีเป็น 3 แบบคือ Hide, Replace และ Hide-and-Replace ภาพประกอบด้านบน ) ปัจจุบันมีการแจ้งเตือน Vendor ต่างๆ ออกไปแล้ว รวมถึงช่องโหว่ยังได้รับเลขหมายอ้างอิงแล้วคือ CVE-2020-9592 และ CVE-2020-9596 ซึ่งคาดว่าจะมีแพตช์มาให้ผู้ใช้งานอัปเดตกันเร็วๆ นี้

credit : Zdnet

ผู้สนใจสามารถติดตามงานวิจัยเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/new-shadow-attack-can-replace-content-in-digitally-signed-pdf-files/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft เผยบริการ Phishing-as-a-Service เกี่ยวพันกับหลายเหตุการโจมตี

Microsoft ได้ออกมาจับตาเกี่ยวกับขบวนการที่ให้บริการ Phishing-as-a-Service โดยมีความน่ากังวลในหลายประเด็น

พบช่องโหว่ RCE บนกล้อง Hikvision หลายรุ่นแนะผู้ใช้ตรวจสอบอัปเดต

มีการแจ้งเตือนช่องโหว่ร้ายแรงที่สามารถใช้เข้าลอบรันคำสั่งจากทางไกลบนกล้องยี่ห้อ Hikvision หลายรุ่นจึงแนะนำให้ผู้ใช้งานตรวจสอบ หาทางอัปเดต Firmware ในเวอร์ชันล่าสุดครับ