Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement e altri 10 visualizzatori PDF per desktop sono vulnerabili a un nuovo "attacco ombra" che consente ai cyber criminali di modificare il contenuto dei documenti PDF digitalmente firmati. Il dato emerge da una ricerca condotta dalla Ruhr-University Bochum, che ha preso in esame 28 applicazioni desktop per la lettura di PDF.

Quello che è stato battezzato "Shadow Attack" si basa sul concetto di "livelli di visualizzazione", ossia diversi set di contenuti sovrapposti l'uno sull'altro all'interno di un documento PDF. L'attacco si verifica quando un cyber criminale prepara un documento con diversi livelli e lo invia a una vittima.

Quest'ultima firma digitalmente un livello benigno del documento, ma quando l'attaccante lo riceve, cambia il livello visibile con un altro. Il fatto che il layer sia stato incluso nel documento originale firmato dalla vittima, la firma crittografica resta valida e consente a un cyber criminale di usare tale documento per azioni illecite, come cambiare il nome del destinatario di un pagamento o modificare clausole contrattuali.
Per scatenare l'attacco si possono adottare tre metodi: Nascondi, sostituisci, nascondi e sostituisci. Nel primo caso il cyber criminale utilizza la funzione di aggiornamento incrementale dello standard PDF per nascondere un layer, senza sostituirlo con altro. Nel secondo caso gli aggressori utilizzano la funzione Moduli interattivi dello standard PDF per sostituire il contenuto originale con un valore modificato.

La combinazione dei due precedenti comporta l'impiego di un secondo documento PDF memorizzato in quello originale per sostituirlo del tutto. Quest'ultima variante, quella del documento ombra, è la più potente, perché scambia il contenuto dell'intero documento.
La possibilità di operare questi attacchi è dovuta al fatto che nelle applicazioni vulnerabili i documenti PDF, anche quando digitalmente firmati, consentono la presenza di oggetti inutilizzati all'interno del loro contenuto. le applicazioni che bloccano questo tipo di attacco invece rimuovono gli oggetti PDF inutilizzati durante la firma di un documento.

Le patch

I ricercatori hanno contattato le aziende produttrici dei visualizzatori PDF vulnerabili a un attacco ombra. All'inizio di questa settimana le falle sono state chiuse. Le vulnerabilità sono identificate dalle sigle CVE-2020-9592 e CVE-2020-9596: è bene controllare che gli aggiornamenti abbiano preso corso e che le applicazioni siano esenti dal problema segnalato.

Il problema è piuttosto insidioso, perché non manomette la firma digitale, ma solo il contenuto del PDF, senza cambiare la firma.