Команда дослідників з Рурського університету в Бохумі (Німеччина) виявила нові методи атак на підписані PDF-файли. Так звана техніка Shadow Attack дозволяє хакеру приховувати і замінювати вміст в підписаному PDF-документі, не зачіпаючи цифровий підпис.

Організації, урядові установи, підприємства та приватні особи часто підписують документи в форматі PDF для запобігання несанкціонованих змін. Якщо хтось вносить зміни в підписаний документ, підпис стає недійсним.

Експерти протестували 28 популярних програм для перегляду документів у форматі PDF, 15 з яких виявилися вразливими (CVE-2020-9592 і CVE-2020-9596) до нових атак. У списку вразливих додатків виявилися Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement тощо. Проблема зачіпає користувачів операційних систем Windows, macOS і Linux.

Фахівці продемонстрували три варіанти Shadow Attack, які зловмисники можуть використовувати для приховування або заміни вмісту в PDF-файлах.

Перший варіант Shadow Attack включає приховування деякого вмісту в PDF-файлі за іншим шаром, наприклад, зображенням на всю сторінку. У продемонстрованому експертами сценарії атаки зловмисник відправляє підписанту документ із зображенням привабливого або непримітного повідомлення поверх вмісту, яке він хоче приховати. Після того як документ буде підписаний і відправлений назад зловмисникові, він зможе маніпулювати файлом, щоб зображення більше не відображалося додатком для перегляду PDF-документів, роблячи таким чином прихований контент видимим.

Другий варіант передбачає додавання в підписаний документ нового об’єкта, який вважається нешкідливим, але здатний вплинути на уявлення контенту. Як пояснили дослідники, зміна шрифтів не змінює зміст безпосередньо. Проте, це впливає на вигляд відображуваного контенту і дозволяє міняти місцями числа або символи.

Останній варіант, який дослідники назвали найефективнішим, дозволяє зловмисникові змінювати весь контент підписаного документа. В рамках даної атаки хакер впроваджує прихований і видимий контент в документ, використовуючи два об’єкти з однаковим ідентифікатором, і відправляє його мети. Шахрай може підкласти цілий файл, що впливає як на уявлення кожної сторінки або на їх загальну кількість, так і на кожен об’єкт, що міститься в них.

Дослідники спільно з групою реагування на комп’ютерні інциденти в Німеччині CERT-Bund повідомили про свої знахідки розробникам додатків для перегляду PDF-файлів. Виправлення для вразливостей були випущені до того, як експерти опублікували подробиці.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.