PDF: la fonctionnalité de certification est vulnérable aux attaques

0

Les fichiers PDF certifiés sont utilisés pour signer en toute sécurité des accords entre deux parties tout en préservant l’intégrité du contenu, mais un nouveau rapport a révélé que les protections de sécurité de la plupart des applications de PDF certifiées étaient inadéquates et exposaient les organisations à un certain nombre d’attaques.

Des chercheurs de l’Université de Ruhr à Bochum ont expliqué que les PDF certifiés utilisent deux signatures spécifiques pour authentifier le document, une signature d’approbation et une signature de certification. Les signatures de certification sont les plus flexibles et conçues pour gérer des accords complexes entre plusieurs parties et permettre certaines modifications du document dans un ensemble de paramètres tout en conservant sa validité.

Sans surprise, les signatures certifiées sont l’endroit où les chercheurs ont trouvé des vulnérabilités à deux nouvelles attaques spécifiques qu’ils ont surnommés « Evil Annotation » (EAA) et « Sneaky Signature » (SSA). Les deux permettent à un attaquant de superposer du contenu malveillant sur les informations certifiées sans montrer aucun signe d’altération.

Nouvelles attaques de PDF certifiés

Les EAA affichent du contenu malveillant dans les annotations du document, puis l’envoient avec sa signature numérique intacte. Les SSA ajoutent du contenu malveillant au contenu légitime dans le PDF lui-même.

L’équipe de chercheurs a déclaré que les résultats de son évaluation des 26 applications PDF les plus populaires étaient « alarmants ».

« Dans seulement 2 cas, nous n’avons pas pu trouver de vulnérabilité ; 15 applications étaient vulnérables à l’EAA, 8 à la SSA, dont Adobe, Foxit et LibreOffice », indique le rapport. « Nous avons également analysé la mise en œuvre conforme aux normes des applications de certification PDF et avons trouvé des problèmes dans 11 d’entre elles. »

Adobe avait une faille supplémentaire qui permettait aux documents certifiés d’exécuter du code JavaScript, rendant les utilisateurs vulnérables aux attaques d’injection de code.

pdf

« Par exemple, un code JavaScript de haut niveau peut appeler une URL arbitraire sans confirmation de l’utilisateur pour désanonymiser un utilisateur. Notre recherche révèle qu’un tel code est également exécuté s’il est ajouté en tant que mise à jour incrémentielle autorisée. Nous sommes les premiers à révéler que ce comportement permet aux attaquants d’intégrer directement du code malveillant dans un document certifié. »

L’équipe de chercheurs a déclaré avoir divulgué ses conclusions aux fournisseurs appropriés et fourni un rapport de vulnérabilité complet, y compris les exploits, au CERT-Bund (BSI). Le rapport répertorie également les failles de sécurité des PDF certifiées trouvées dans chaque application.

« Adobe, Foxit et LibreOffice ont répondu rapidement et ont fourni des correctifs sortis fin 2020 (CVE-2020-35931) ou début 2021 (CVE2021-28545, CVE-2021-28546) », indique le rapport. « Adobe a corrigé la vulnérabilité d’injection de code (CVE-2020-24432) début novembre 2020 dans un correctif en dehors du cycle de mise à jour régulier. Actuellement, nous participons au processus de normalisation via l’Organisation nationale allemande de normalisation (DIN) et l’Organisation internationale de normalisation (ISO) pour empêcher ces attaques dans la prochaine spécification PDF.

Stopper les attaques de PDF certifiées

Pour repousser les attaques par annotations malveillantes(EAA), les chercheurs recommandent aux administrateurs d’interdire trois annotations particulièrement risquées qui permettent d’ajouter du texte ou des images à un PDF certifié, « FreeText, Stamp et Redact ».

Les signatures sournoises(SSA) peuvent être bloquées en réduisant les autorisations, mais cela ne garantit pas que les SSA ne passeront pas. Les champs de signature définis offrent une couche de protection supplémentaire, selon le rapport.

« Les champs de signature doivent être configurés à des emplacements définis dans le document PDF avant que le document ne soit certifié », explique le rapport. « Un ajout ultérieur de champs de signature doit être pénalisé par un statut de certification invalide. Sinon, il peut toujours être utilisé pour ajouter du texte ou des images inclus dans la signature à n’importe quel endroit.

pdf

Les injections de code JavaScript dans Adobe sont plus délicates car dans la plupart des cas, l’exécution démarre au moment où le document est ouvert. « La seule exigence est que la victime fasse pleinement confiance au certificat utilisé pour certifier le document PDF », indique le rapport.

Le mois dernier, Adobe Acrobat a déployé un correctif pour une faille zero-day ciblant les utilisateurs de Windows. Quelques jours plus tard, des chercheurs de Microsoft Security Intelligence (MSI) ont découvert que des fichiers PDF étaient utilisés par des attaquants pour délivrer l’outil d’accès à distance (RAT) StrRAT qui est utilisé pour voler les informations d’identification, enregistrer les frappes du clavier et prendre le contrôle à distance des systèmes infectés.

La flexibilité offerte par les signatures certifiées présente un risque de sécurité énorme, potentiellement catastrophique, pour de nombreuses organisations et le rapport recommande aux applications PDF de travailler rapidement pour proposer des correctifs à grande échelle.

« La communauté des chercheurs a été confrontée à des problèmes similaires sur d’autres formats de données, tels que XML ou le courrier électronique, sans trouver de solution satisfaisante jusqu’à présent », ont-ils déclaré. « Dans le cas du PDF, la spécification doit être mise à jour pour résoudre ces problèmes. »

Laisser un commentaire