在日常办公中大多数企业都离不开PDF的使用。但PDF认证存在的系统漏洞可以改变文档中显示的内容，这就意味着文档中的敏感信息可以能会被更改或窃取，进而引发经济损失。

网络安全研究人员披露了两种针对经过认证的PDF文档存在漏洞的新攻击技术，攻击者可以通过PDF Certification存在的漏洞，添加恶意内容而不使签名失效来改变文档的可见内容。

研究人员表示，这种新型攻击充分利用了PDF认证系统的灵活性，它允许在不同权限级别下对认证文档进行签名或添加注释。

两个修改认证PDF文档新方式

这两种修改认证PDF文档的攻击——被称为Evil Annotation 和 Sneaky Signature 攻击——依赖于通过利用规范中的系统漏洞来操纵 PDF 认证过程，该规范管理数字签名(又名批准签名)及其更灵活的变体(称为认证签名)的实施。

认证签名还允许根据认证者设置的权限级别对 PDF 文档进行不同的子集修改，包括将文本写入特定表单字段、提供注释甚至添加多个签名的能力。

Evil Annotation Attack (EAA) 的工作原理是利用系统漏洞修改经过认证的文档，该文档被设置为插入注释以包含含有恶意代码的注释，然后将其发送给受害者。另一方面，Sneaky Signature Attack (SSA) 背后的逻辑是通过系统漏洞向允许填写表单字段的文档添加重叠签名元素来操纵外观。

在假设攻击场景中，验证者创建一个包含敏感信息的认证合同，同时允许向 PDF合同添加更多签名。通过利用这些权限攻击者可以修改文档的内容，例如，在受害者未知情况下，通过操控合同显示一个国际银行帐号(IBAN) 并欺诈性地转移资金。

攻击影响

在对26个PDF应用程序进行评估后，包括Adobe Acrobat Reader (漏洞CVE-2021-28545和CVE-2021-28546)、Foxit Reader (漏洞CVE-2020-35931)和Nitro Pro等其中15个易受EAA攻击，并使攻击者能够改进文档中可见内容。oda PDF Desktop、PDF Architect和其他6个应用程序易受到SSA攻击。

研究同时发现更严重的问题，通过EAA和SSA将此类代码作为对认证文档的增量更新，可以在Adobe Acrobat Pro和Reader中执行高特权JavaScript代码，如将用户重定向至恶意网站，Adobe在2020年11月的补丁更新中解决了该系统漏洞 ( CVE-2020-24432 ) 。

防范建议

为抵御针对这类系统漏洞的攻击，建议禁止使用FreeText、Stamp和Redact注释，并确保认证之前在PDF文档中的指定位置设置签名字段，并禁止任何后续添加的带有无效证书的签名字段。

尽管EAA和SSA都不能改变内容本身，但注释和签名字段可以被用作添加新内容进行覆盖打开PDF的受害者无法将这些新增内容与普通内容区分开，更糟糕的是注释可以嵌入高特权的JavaScript代码，允许添加到特定的认证文档中。中科天齐提醒大家，在使用Adobe 系列应用软件及PDF文档时，要及时对已知漏洞进行修补并加强网络安全防范意识，警惕犯罪分子攻击。