Zertifizierte PDF-Verträge weisen Sicherheitslücken auf
Dokument-Zertifikate sollen PDF-Verträge absichern. Doch ein Forscherteam der Ruhr-Universität Bochum fand nun heraus, dass sich solche PDF-Verträge nachträglich manipulieren lassen.
Forschende der Ruhr-Universität Bochum haben festgestellt, dass sich unterschriebene PDF-Verträge leicht modifizieren lassen. Wissenschaftler am Lehrstuhl für Netz- und Datensicherheit untersuchten das PDF-Format auf Schwachstellen - und entdeckten zwei mögliche Angriffsszenarien, über die sich PDF-Dokumente nachträglich manipulieren lassen, wie "Heise.de" berichtet.
Betroffen sind laut dem Forscherteam 24 PDF-Anwendungen, darunter Acrobat und Foxit Reader. Problematisch sei zum einen, dass der Dokumentenstandard PDF 2.0 zu viel Spielraum lasse. Zum anderen bemängeln die Experten die Sicherheitsmechanismen.
Die Schwachstellen betreffen die Dokument-Zertifikate. Damit bescheinigen die Urheber eines Vertrages die Integrität des PDFs und gewähren den weiteren Partien eingeschränkte Bearbeitungsrechte, wie das Signieren und Ausfüllen von Formularfeldern oder das Hinzufügen von Anmerkungen. Mit solchen erlaubten Veränderungen bleibt das Zertifikat gültig. Versucht jemand jedoch, den Inhalt zu ändern, erkennt die PDF-Software diesen Manipulationsversuch und blendet eine Warnung ein. Diese macht das Zertifikat ungültig.
Die Forschenden haben Wege gefunden, erlaubte Änderungen an Signaturfeldern und Textfeldern so durchzuführen und zu tarnen, dass sie von echten Dokument-Inhalten nicht unterscheidbar sind. Besonders geeignet sind für solche Manipulationen seien die Textfeld- und die Redigieren-Funktionen, schreibt "Heise" weiter.
Hersteller kontaktiert
Solche Manipulationen könnten weniger versierten Nutzerinnen und Nutzern verborgen bleiben, denn die gängigen PDF-Anwendung weisen weder auf vorhandene Kommentare noch auf die Kommentarleiste hin. Ausserdem lasse sich der PDF-Code so verändern, dass die zweckentfremdeten Kommentare nicht mehr in der dafür vorgesehenen Leiste erscheinen. Auch die zum Unterschreiben gedachten PDF-Signaturfelder könnten für Angriffe verwendet werden.
Die Forschenden hätten die Hersteller diesbezüglich kontaktiert. Adobe, Foxit und die Stiftung "The Document Foundation" (Libre Office) haben gemäss "Heise" rasch reagiert und ihre Applikationen nachgebessert.
Die Forschenden präsentierten ihre Ergebnisse an der IT-Security-Konferenz IEEE Symposioum für Security und Privacy. Die Testdokumente sowie die Studie stehen auf pdf-insecurity.org unter "Attacks on PDF Certification (May 2021)" zum Download bereit. Die Forschenden stellen dort auch Tools zur Verfügung, mit denen Nutzerinnen und Nutzer ihre Dokument-Zertfikate auf diese Sicherheitslücken prüfen können.
Die Eidgenössische Finanzkontrolle (EFK) hat übrigens kürzlich ihren Jahresbericht 2020 veröffentlicht und darin mehrere Cyberrisiken in kritischen Infrastrukturen identifiziert. Betroffen seien unter anderem das Interbank-Zahlungssystem sowie die Gebäudesteuerung der Bundesverwaltung.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie Beethoven aus vier Noten eine halbe Stunde Musik schuf
Baby in der Wildnis - eine Doku
Update: Anthropic öffnet Mythos für 150 weitere Organisationen
Update: Nationalrat will dem Nachrichtendienst KI-Profiling erlauben
Wie User sich mit ChatGPT ihre Infektionen selbst einfangen
So stimmt man Gummihühner
Nationalrat sagt Ja zu Hotline für Opfer von Cyberangriffen
Wie Unternehmen Security-KI effektiv gegen KI-gestützte Cyberattacken einsetzen können
IT-SA sucht die innovativsten Cybersecurity-Start-ups
