Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향서명된 PDF의 내용을 수정할 수 있는 취약점 발견
작성일 2021-02-24 조회 104

보안 연구원들에 의해 디지털 서명된 PDF 문서의 무결성을 해칠 수 있는 취약점이 발견됐다. 현재 Shadow attacks라고 불리고 있는 이 취약점은 PDF 파일에서 제공해 주는 광범위한 유연성 덕분에 해당 공격이 가능하다고 Ruhr-University가 밝혔다.

 

이 연구 결과는 Network and Distributed System Security Symposium(NDSS)에서 발표 되었으며 Adobe Acrobat, Foxit Reader 등 29개 PDF 뷰어중 16개 제품이 Shadow attacks에 취약한 것으로 확인됐다.

 


[그림1. Shadow attacks]

 

 

 

연구원들은 "PDF의 서명자는 문서를 받아 검토를 진행한다. 이 때 전달된 문서 내부에는 서명자 입장에서 확인하기 힘든 곳에 빈 Refer를 할당해 둔다. 문제가 없다고 판단해 서명 후 문서가 전달되면 공격자들은 미리 추가해둔 Refer에 내용을 삽입한다. 무결성이 침해된 PDF파일은 피해자들에게 전달되고 사실과 다른 내용을 읽게된다."고 언급했다.

 

Shadow attacks는 2019년 2월에 발견된 공격을 기반으로 하는데 이 경우에도 서명을 무시하고 내용을 변경할 수 있다.

 


[그림2. 2019년에 발견한 공격]

 

 

 

당시 PDF 뷰어 소프트웨어들은 보안 조치를 통해 문제를 해결했다. 하지만 연구원들은 해당 공격 모델을 확장시켜 PDF의 가시적인 내용들을 수정할 수 있는 Shadow attacks 취약점을 발견했다. 이 공격의 핵심은 서명시에 포함되지 않은 Overlay영역을 다른 내용으로 수정하는 것이다. 

 

Shadow attacks 취약점 패치를 진행한 PDF 뷰어는 다음과 같다.

 


[그림3. Shadow attacks 취약점 패치 여부]

 

 

 

현재 연구원들은 Shadow attacks를 기반으로 PDF-Attacker 및 PDF-Dectector라는 두 가지 오픈 소스를 공개했다. 각 도구들은 Shadow attacks 문서를 제작하거나 탐지할 수 있다.

 

출처

 

https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html

첨부파일 첨부파일이 없습니다.
태그