Alertas de seguridad

Vulnerabilidad en los archivos PDF firmados digitalmente

Se ha encontrado una vulnerabilidad en 15 de las 28 aplicaciones de PDF, que permite modificar el contenido de documentos en PDF firmados digitalmente.

La lista de aplicaciones de PDF que tienen esta vulnerabilidad fue publicada por académicos de la Universidad Ruhr de Bochum en Alemania. En la lista se incluyen aplicaciones como: Adobe Acrobat Reader, Adobe Acrobat Pro, Expert PDF 14, Foxit Reader, LibreOffice Draw, PDFelement, Nitro Reader, entre otros. Los académicos han denominado esta técnica de falsificación de documentos como Shadow Attack (ataque de sombra).

La principal idea de este ataque es el concepto de “vista de capas” que consiste en diferentes conjuntos de contenido que se superponen uno encima de otro dentro del documento PDF. Este tipo de ataques son posibles debido a que los documentos en PDF permiten que los objetos PDF no utilizados estén presentes dentro de su contenido, aun cuando el documento PDF esté firmado digitalmente.


¿Cómo funciona el ataque?

El atacante prepara un documento con diferentes capas y se lo envía a la víctima para que firme el documento digitalmente en la capa superior del documento, la cual en apariencia está bien. Sin embargo, cuando el atacante recibe el documento firmado, cambia la capa visible por otra capa, donde está el contenido adulterado.

Debido a que la capa maliciosa fue incluida en el documento original que la víctima firmó, el cambio de la capa no rompe la firma criptográfica que la víctima colocó y permite al atacante usar el documento legalmente vinculante para acciones nefastas como reemplazar el destinatario de un pago, la suma de una orden de pago en PDF o alterar las cláusulas del contrato.

De acuerdo con el equipo de investigación, hay tres variantes en el Shadow Attack:

  • Esconder: Cuando el atacante usa la función de actualización incremental del estándar PDF para ocultar una capa, sin reemplazarla por nada más.
  • Reemplazar: Cuando el atacante usa la función de formularios interactivos del estándar de PDF para reemplazar el contenido original con un valor modificado.
  • Esconder y Reemplazar: Cuando el atacante usa un segundo documento de PDF contenido en el documento original para reemplazarlo por completo. 

Productos afectados

Aplicaciones de PDF que permiten que los objetos PDF no utilizados, estén presentes dentro del contenido del documento aun cuando está firmado digitalmente.


Soluciones alternativas

Los investigadores dicen que trabajaron con el CERT-Bund (Computer Emergency Response Team of Germany) para contactar a los fabricantes de aplicaciones PDF para reportar este nuevo vector de ataque y corregirlo antes de publicar sus hallazgos.

El Shadow Attack se rastrea actualmente con los identificadores CVE-2020-9592 y CVE-2020-9596.

Las compañías deben actualizar sus aplicaciones de PDF para asegurarse de que los documentos PDF que firman, no puedan ser manipulados a través de un Shadow Attack.