Une équipe de chercheurs de l’Université de la Ruhr à Bochum en Allemagne a dévoilé une série de nouvelles méthodes d’attaque contre des fichiers PDF signés.

Doublé Attaques de l’ombre, les nouvelles techniques permettent à un pirate de cacher et de remplacer le contenu d’un document PDF signé sans invalider sa signature. Le pirate peut créer un document avec deux contenus différents, l’un que le signataire s’attend à voir et l’autre qui sera affiché au destinataire du document.

«Les signataires du PDF reçoivent le document, l’examinent et le signent. Les attaquants utilisent le document signé, le modifient légèrement et l’envoient aux victimes. Après avoir ouvert le PDF signé, les victimes vérifient si la signature numérique a été vérifiée avec succès. Cependant, les victimes voient un contenu différent de celui des Signataires », ont expliqué les chercheurs.

Ils ont testé 28 applications de visualisation PDF et ont constaté que 15 d’entre elles étaient vulnérables à au moins une des attaques, y compris des applications créées par Adobe, Foxit et LibreOffice. Ces trois organisations ont déjà publié des correctifs, mais bon nombre des fournisseurs concernés n’ont pas répondu aux messages des chercheurs ou n’ont fourni aucune information sur la disponibilité des correctifs.

Les mêmes chercheurs ont précédemment divulgué des méthodes pour casser les signatures de fichiers PDF et apporter des modifications non autorisées aux documents signés. Ils ont maintenant présenté trois nouvelles attaques contre les signatures PDF.

Les organisations et les particuliers – cela inclut les gouvernements, les chercheurs et les entreprises – signent souvent des documents PDF pour empêcher les modifications non autorisées. Si quelqu’un modifie le document signé, sa signature devrait devenir invalide.

Cependant, les chercheurs de l’Université de la Ruhr à Bochum ont démontré trois variantes des attaques de l’ombre, que les attaquants peuvent exploiter pour cacher, remplacer ou cacher et remplacer le contenu des fichiers PDF. Les vulnérabilités qui permettent ces attaques sont suivies comme CVE-2020-9592 et CVE-2020-9596.

La variante « Hide » du …