15 dos 28 maiores visualizadores de PDF para desktop estão vulneráveis ao ataque, que é majoritariamente direcionado a empresas
15 dentre os 28 maiores aplicativos de visualização de PDF disponíveis no mercado, atualmente, estão vulneráveis a um novo ataque que permite que cibercriminosos modifiquem o conteúdo de documentos criados e assinados digitalmente, em formato PDF.
A lista de aplicativos vulneráveis inclui o Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement e outros, de acordo com uma nova pesquisa publicada esta semana por acadêmicos da Universidade Ruhr-Bochum, na Alemanha.
Além da clara ameaça de falsidade ideológica, a possibilidade de um ataque do tipo preocupa por tornar ainda mais complexos ataques de phishing ou engenharia social, adicionando um elemento de verossimilhança perigoso a e-mails com “comunicados oficiais”, por exemplo.
O ataque já está sendo utilizado para desvios de dinheiro e mira, principalmente, em empresas.
Como funciona o Shadow Attack
Lista de aplicativos vulneráveis ao ataque | Créditos
Os acadêmicos chamam essa técnica de falsificação de documentos de Shadow Attack (“ataque sombra”, em uma tradução literal).
Isso porque a ideia principal por trás de um Shadow Attack é o conceito de "visualização de camadas", ou seja, de diferentes conjuntos de conteúdo que estão sobrepostos em um documento PDF.
Sendo assim, o Shadow Attack ocorre quando um cibercriminoso prepara um documento com diferentes camadas de conteúdo e o envia para uma vítima.
A vítima assina digitalmente o documento com uma camada benigna na parte superior, mas, quando o invasor o recebe o documento de volta, a camada visível muda para outra.
Como a camada foi incluída no documento original que a vítima assinou, a alteração da visibilidade não quebra a assinatura criptográfica e permite que o invasor use o documento legalmente vinculativo para ações prejudiciais – como substituir o destinatário de um pagamento, a soma em uma ordem de pagamento em PDF, alteração das cláusulas contratuais, falsidade ideológica, etc.
Para ficar mais fácil de entender, é como se a vítima recebesse um documento digital legítimo para assinar, mas, “dentro” dele, sem que ela saiba, houvesse outro. Aí, quando ela assina o documento legítimo, a assinatura é automaticamente replicada para esse “parasita” atrelado ao documento original.
(a) Um PDF “sombra” assinado digitalmente pelas vítimas contendo um valor X de uma doação (b) Documento PDF manipulado após a assinatura, com os dados da conta dos invasores | Créditos
Os diferentes tipos de Shadow Attack
Segundo os acadêmicos da equipe de pesquisa, existem três variantes em um Shadow Attack:
- Hide (Ocultar) – quando os invasores usam o recurso Incremental Update (Atualização Incremental) do PDF padrão para ocultar uma camada do conteúdo, sem substituí-la
- Replace (Substituir) – quando os invasores usam o recurso Interactive Forms (Formulários Interativos) do PDF padrão para substituir o conteúdo original por um modificado
- Hide-and-Replace (Ocultar e Substituir) – quando os invasores usam um segundo documento PDF contido no documento original para substituí-lo por completo
Figura 5.3: Os atacantes manipulam com êxito um documento assinado e forçam visualizações diferentes sobre os assinantes e as vítimas, usando a variante de ataque Hide-and Replace | Créditos
"A variante de ataque Hide-and-Replace é a mais poderosa, pois o conteúdo de todo o documento pode ser trocado", diz a equipe de pesquisa.
Qual a solução? Atualização dos patches disponíveis
A equipe de pesquisa disse que trabalhou com a CERT-Bund (equipe de resposta a emergências de computadores da Alemanha) para entrar em contato com os fabricantes de aplicativos de visualização de PDF e relatar esse novo vetor de ataque.
A ideia era corrigi-lo antes de divulgar as descobertas no início desta semana.
No momento, o Shadow Attack é rastreado com os identificadores CVE-2020-9592 e CVE-2020-9596.
A recomendação dos pesquisadores é que as empresas atualizem seus aplicativos de visualização de PDF para garantir que os documentos assinados neste formato não possam ser violados por meio de um Shadow Attack.
Mas não é a primeira vez que um ataque do tipo acontece
É a segunda vez que essa mesma equipe de pesquisa investiga as assinaturas digitais dos aplicativos de visualização de PDF.
Em fevereiro de 2019, os pesquisadores contiveram um ataque parecido em 21 dos 22 aplicativos visualizadores de PDF para desktop e em cinco dos sete serviços de assinatura digital em PDF, que vinham sofrendo com a criação de de documentos com assinaturas falsas.
Porém, o novo Shadow Attack é diferente do primeiro porque não adultera a assinatura digital, como o primeiro ataque, mas o conteúdo do PDF, sem quebrar a assinatura.
Além disso, a mesma equipe de pesquisa também descobriu o PDFex, uma técnica para quebrar a criptografia e extrair dados de dentro de documentos criptografados em 27 visualizadores de PDF.
"O invasor pode criar um ‘shadow document’ (documento sombra) completo, influenciando a apresentação de cada página, ou mesmo o número total de páginas, bem como cada elemento contido nela".
Os pesquisadores dizem que os Shadow Attacks são possíveis porque os documentos PDF, mesmo quando assinados digitalmente, permitem a presença de elementos não utilizados em seu conteúdo original.
Os aplicativos de visualização de PDF que removem elementos não utilizados ao assinar um documento são imunes aos Shadow Attacks.
Proteja os arquivos da sua empresa. Consulte a assessoria de especialistas da Compugraf.
