IT-Sicherheit: Signierte PDF-Dokumente unbemerkt veränderbar

IT-Sicherheitsforscher decken gravierende Sicherheitslücken in PDF-Signaturen auf – Forschungsprojekt der Ruhr-Universität Bochum unter Beteiligung des Fachbereiches Informatik und Informationswissenschaft der Universität Konstanz

Eine neue Sicherheitslücke in der digitalen Signatur von PDF-Dokumenten hat ein Forschungsteam des Horst-Görtz-Instituts für IT-Sicherheit (HGI) der Ruhr-Universität Bochum unter Beteiligung von Dr. Vladislav Mladenov, Professurvertretung für Cyber-Physical Systems an der Universität Konstanz, gefunden. PDF-Signaturen werden verwendet, um wichtige Dokumente wie Rechnungen oder Verträge vor Veränderungen zu schützen. Bereits 2019 hatte die Gruppe darauf aufmerksam gemacht, dass Inhalte von PDF-Dokumenten trotz Signatur manipuliert werden können. Die Hersteller vieler PDF-Anwendungen hatten daraufhin Gegenmaßnahmen ergriffen. In der aktuellen Studie zeigen die IT-Experten, dass viele Gegenmaßnahmen kaum wirken: Dokumenteninhalte lassen sich trotzdem in zahlreichen Programmen unbemerkt verändern. Details zu den Angriffen, die sie „Shadow Attacks“ nannten, veröffentlichten die Wissenschaftler am 22. Juli 2020 auf der Website des Forschungsprojekts. Die Schwachstellen meldeten sie zuvor dem Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik. In welchen Anwendungen die Schwachstelle bereits behoben ist, kann online eingesehen werden unter: Evaluation Summary

Nach Bekanntwerden der 2019 beschriebenen Sicherheitslücken basierte eine weitverbreitete Gegenmaßnahme darauf, Nutzerinnen und Nutzer über Veränderungen an einem signierten PDF-Dokument zu informieren. Die Veränderungen werden dabei in „potenziell gefährlich“ und „ungefährlich“ eingestuft. Die ungefährlichen und somit erlaubten Änderungen an den PDF-Dokumenten untersuchte der Konstanzer IT-Sicherheitsforscher Dr. Vladislav Mladenov gemeinsam mit seinen Bochumer Kollegen Dr. Christian Mainka, Simon Rohlmann und Prof. Dr. Jörg Schwenk (Ruhr-Universität Bochum, Lehrstuhl für Netz- und Datensicherheit) genauer.

Fast alle untersuchten Programme haben Schwachstellen
Die Forscher überprüften 28 populäre PDF-Dokumentenbetrachter für die Betriebssysteme Windows, macOS und Linux. Bei 15 Anwendungen fanden sie gravierende Schwachstellen: Nutzerinnen und Nutzer erhielten keine Warnung, dass das Dokument verändert worden war. Weitere zehn Anwendungen zeigten zwar Hinweise an, stuften die getätigten Veränderungen aber nicht als Manipulation ein. „Das Ergebnis ist alarmierend. Wir konnten Teile oder sogar das gesamte signierte Dokument manipulieren, ohne dass die Signaturprüfung diese Veränderung bemerkte“, sagt Vladislav Mladenov.

Zweistufiger Angriff
Die „Shadow Attacks“ erfolgen in zwei Phasen. Während der Vorbereitung nutzt ein Angreifer Eigenschaften der PDF-Datenstruktur aus, um Inhalte unsichtbar im PDF zu verstecken – wie einen Schatten. Das vorbereitete Dokument legt er dann – zum Beispiel dem Vorgesetzten oder Konsortialpartner – zum Signieren vor. Dieser möchte das Dokument, etwa eine Rechnung oder einen Vertrag, signieren und prüft in seiner PDF-Anwendung den angezeigten Inhalt, die Veränderungen sind aber unsichtbar. Für ihn sieht das Dokument folglich einwandfrei aus, so dass er es digital unterschreibt. Aufgabe der digitalen Signatur sollte es nun sein, den Inhalt der PDF-Datei vor Veränderungen zu schützen.

Aufgrund der Sicherheitslücke kann der Angreifer anschließend trotz Signatur den ursprünglich platzierten, versteckten Inhalt sichtbar machen. In der Regel werden solche Änderungen am Dokument als ungefährlich eingestuft, weil kein neuer Inhalt hinzugefügt wird, sondern lediglich Inhalte aus dem signierten Bereich genutzt werden. Die Manipulation kann den angezeigten Inhalt des Dokumentes aber komplett verändern. Texte können beliebig ausgetauscht werden und es ist sogar möglich, ein zweites, vollständig definiertes PDF-Dokument mit anderem Inhalt in dem sichtbaren Dokument zu verstecken.

Digitale PDF-Signaturen weit verbreitet
Seit 2014 die Regulierung zu „Electronic Identification, Authentication and Trust Services“ in Kraft getreten ist, spielen PDF-Signaturen eine wichtige Rolle in der Europäischen Union (EU). Beispielsweise werden Verträge bei EU-Projekten digital signiert, in Österreich trifft das auch auf alle Gesetze zu. Auch nutzen viele Unternehmen PDF-Signaturen, um ihre Rechnungen zu signieren.

Faktenübersicht:

  • Forschungsprojekt deckt Sicherheitslücken in PDF-Signaturen auf: Durch sogenannte „Shadow Attacks“ können signierte PDF-Dokumente durch versteckte Inhalte verändert werden.
  • Forschungsprojekt des Horst-Görtz-Instituts für IT-Sicherheit (HGI) der Ruhr-Universität Bochum unter Beteiligung von Dr. Vladislav Mladenov, Professurvertretung für Cyber-Physical Systems an der Universität Konstanz.
  • Die Sicherheitslücken wurden am 22. Juli 2020 auf einer Website zum Forschungsprojekt veröffentlicht: Evaluation Summary
    Die Schwachstellen wurden vorab dem Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik gemeldet.
  • In welchen Anwendungen die Schwachstelle bereits behoben ist, kann online eingesehen werden.