Sicherheitslücken in PDF-Verschlüsselung

Forscher der FH Münster und der Ruhr-Universität Bochum finden Schwachstellen in geschützten Dokumenten


Münster/Steinfurt (30. September 2019). Verschlüsselte PDF-Dokumente sollen eine vertrauliche Übermittlung von Daten ermöglichen. Forscher der FH Münster und der Ruhr-Universität Bochum zeigten jedoch, dass Angreifer die Dokumente trotz Verschlüsselung so manipulieren können, dass sie sich den lesbaren Inhalt vom Opfer zuschicken lassen können. Die IT-Experten testeten 27 verbreitete PDF-Reader für Windows, Mac OS und Linux, die alle verwundbar waren, unter anderem die gängigen Anwendungen Adobe Acrobat und Foxit Reader. Die Ergebnisse veröffentlichten die Wissenschaftler am Montag (30. September) online unter https://pdf-insecurity.org.

„Die PDF-Verschlüsselung ist an sich nicht schlecht, es fehlt aber eine wichtige Funktion“, erklärt Prof. Dr. Sebastian Schinzel vom Fachbereich Elektrotechnik und Informatik der FH Münster. „Die PDF-Reader können nicht erkennen, wenn das Dokument verändert wurde. Diese Schwachstelle können sich Angreifer zunutze machen.“

PDF-Verschlüsselung kommt in vielen Bereichen zum Einsatz, um vertrauliche Dokumente sicher über das Netz auszutauschen. Einige medizinische IT-Systeme und -Geräte sind in der Lage, beispielsweise die Gesundheitsakten der Patienten als PDF zu verschlüsseln und zu übertragen. Netzwerkfähige Drucker und Scanner bieten ebenfalls PDF-Verschlüsselung an, um eingescannte Dokumente zu schützen. In der Industrie werden teils auch E-Mails als verschlüsselte PDF-Anhänge verschickt, wenn andere Verschlüsselungsmethoden nicht möglich sind.

Bei ihrer Arbeit gingen die Forscher davon aus, dass der Angreifer Zugriff auf ein verschlüsseltes PDF-Dokument erhält, indem er beispielsweise eine E-Mail an das Opfer abfängt. Auch ohne das Passwort zum Entschlüsseln des Dokuments zu besitzen, kann der Angreifer die Datei manipulieren und darin Befehle für eine spätere Aktion verstecken. Dann leitet er das manipulierte verschlüsselte PDF-Dokument an das Opfer weiter. Gibt das Opfer das Passwort ein und öffnet das Dokument, wird der versteckte Befehl ausgeführt und der nun entschlüsselte Inhalt automatisch an den Angreifer geschickt.

Zwei verschiedene Schwachstellen – Direct Exfiltration und CBC Gadgets genannt – ermöglichten es den Forschern, diese Art von Angriff durchzuführen. Alle getesteten Desktop-Anwendungen zum Lesen von PDF-Dokumenten enthielten mindestens eine der beiden Sicherheitslücken. Eine Übersicht über die betroffenen Anwendungen stellen die Forscher auf ihrer Webseite bereit unter https://pdf-insecurity.org/encryption/evaluation_2019.html. Dort finden sich auch technische Details zu den Angriffen. Fabian Ising, Doktorand im Labor für IT-Sicherheit der FH Münster und Zweitautor der Publikation, wird die Ergebnisse der Studie bei der ACM Conference on Computer and Communications Security, einer der weltweit wichtigsten IT-Sicherheitskonferenzen, Mitte November in London vorstellen.

Da die Sicherheitslücken weit verbreitet waren, meldeten die Wissenschaftler sie im Mai 2019 dem Computer-Notfallteam des Bundesamtes für Sicherheit in der Informationstechnik (BSI-CERT). Und sie halfen, alle Hersteller und das PDF-Standardisierungsgremium über die Schwachstellen zu informieren.

Die Forscher raten alle Nutzerinnen und Nutzern von PDF-Readern zu überprüfen, ob sie die aktuellste Version installiert haben. Falls nein, sollten sie ein Software-Update durchführen, sofern verfügbar, oder den Softwareanbieter kontaktieren.

 

Zum Thema: Die Arbeiten wurden unterstützt vom Land NRW im Rahmen der Forschungsgruppe „Human Centered System Security“ sowie durch EFRE.NRW im Rahmen des Projekts „MITSicherheit.NRW“. Weitere Finanzierung kam von der Europäischen Kommission durch das Projekt „Future Trust“ (Grant 700542-Future-Trust-H2020-DS-2015-1) sowie von der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters Casa (EXC 2092).


Originalveröffentlichung Jens Müller, Fabian Ising, Vladislav Mladenov, Christian Mainka, Sebastian Schinzel, Jörg Schwenk: Practical Decryption exFiltration: Breaking PDF Encryption, 2019, Online-Vorabveröffentlichung https://pdf-insecurity.org/download/paper-pdf_encryption-ccs2019.pdf


Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Weitere Informationen und die Möglichkeit zum Widerruf finden Sie in unserer Datenschutzerklärung.
Seite drucken