ทีมนักวิจัยจากมหาวิทยาลัย Ruhr-University Bochum ประเทศเยอรมนี ได้รายงานช่องโหว่ในโปรแกรมอ่านไฟล์ PDF ซึ่งมีผลทำให้ไฟล์เอกสารที่ถูกลงลายมือชื่อดิจิทัลไปแล้ว (Digitally signed) ยังถูกแก้ไขเนื้อหาในภายหลังได้ โดยลายมือชื่อที่ลงไปแล้วยังคงถูกต้อง ทำให้ผู้ไม่หวังดีอาจใช้ช่องทางนี้ในการปลอมแปลงเอกสารอิเล็กทรอนิกส์ได้ ช่องโหว่นี้ถูกตั้งชื่อว่า Shadow Attack มีหมายเลข CVE-2020-9592 และ CVE-2020-9596 ระดับความรุนแรง CVSS 7.8/10
หลักการลงลายมือชื่อดิจิทัลในไฟล์ PDF นั้นโดยพื้นฐานแล้วจะเป็นการใช้วิทยาการเข้ารหัสลับ (Cryptography) มาคำนวณค่าเฉพาะของเนื้อหาไฟล์ พร้อมกับแนบข้อมูลเฉพาะของผู้ลงลายมือชื่อไปกับไฟล์นั้นด้วย หมายความว่าการลงลายมือชื่อนี้จะมีผลเฉพาะกับเอกสารที่มีเนื้อหานี้เท่านั้น หากหลังจากที่ลงลายมือชื่อไปแล้วเนื้อหาของไฟล์ PDF ถูกแก้ไข ค่าเฉพาะของเนื้อหาไฟล์จะไม่ตรงกับค่าที่ระบุในกระบวนการลงลายมือชื่อ ทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวถูกแก้ไขปลอมแปลง
อย่างไรก็ตาม ไฟล์ PDF นั้นรองรับการแสดงผลแบบระดับชั้น (layer) โดยเนื้อหาหรือวัตถุในเอกสารนั้นสามารถวางซ้อนทับกันได้ เช่น วางรูปภาพซ้อนทับข้อความ โดยผู้ที่เปิดไฟล์ PDF สามารถเลือกที่จะซ่อนเนื้อหาที่อยู่ชั้นบนเพื่อดูเนื้อหาที่อยู่ในชั้นล่างได้ ประเด็นสำคัญที่ก่อให้เกิดช่องโหว่ Shadow Attack คือข้อมูลการแสดงผลระดับชั้นนั้นไม่ได้ถูกนำไปใช้ในตอนคำนวณค่าเฉพาะของเนื้อหาไฟล์ ทำให้เมื่อมีการลงลายมือชื่อไปแล้วแต่มีการแก้ไขระดับชั้นของการแสดงผลเนื้อหาในภายหลัง ข้อมูลการลงลายมือชื่อนั้นจะยังถือว่าถูกต้องอยู่เพราะเนื้อหาของเอกสารไม่ได้ถูกเปลี่ยน
จากช่องโหว่ดังกล่าว ผู้โจมตีสามารถสร้างเอกสาร PDF ที่มีชั้นเนื้อหาซ้อนทับกัน แล้วส่งไฟล์ไปให้เหยื่อลงลายมือชื่อ หลังจากได้รับไฟล์กลับมาพร้อมลายมือชื่อ ผู้โจมตีก็สามารถปิดการแสดงผลระดับชั้นเพื่อให้เนื้อหาที่ถูกซ้อนทับไว้ปรากฎออกมาได้ จากนั้นส่งไฟล์เอกสารดังกล่าวออกไปให้กับบุคคลอื่นโดยอ้างได้ว่าเป็นไฟล์ที่เหยื่อลงลายมือชื่อแล้ว
ทางทีมวิจัยพบว่ารูปแบบการโจมตีของช่องโหว่นี้สามารถแบ่งได้อย่างน้อย 3 เทคนิค โดยเทคนิคแรกคือ Hide เป็นการใช้ฟีเจอร์ Incremental Update ของไฟล์ PDF เพื่อซ่อนวัตถุที่ถูกนำมาปิดทับเนื้อหาที่แท้จริง เทคนิคต่อมาคือ Replace เป็นการใช้ฟีเจอร์ Interactive Forms เพื่อแทนที่ค่าในฟอร์มที่กรอกไว้ และเทคนิคสุดท้ายคือ Hide and Replace เป็นการสับเปลี่ยนเนื้อหาของไฟล์ PDF ทั้งฉบับ
ช่องโหว่ Shadow Attack มีผลกระทบกับโปรแกรมอ่านและลงลายมือชื่อในไฟล์ PDF จำนวนหลายรายการ ทั้งแบบออนไลน์และออฟไลน์ โดยสามารถตรวจสอบรายชื่อโปรแกรมและเวอร์ชันที่ได้รับผลกระทบได้จาก https://pdf-insecurity.org/signature-shadow/evaluation_2020.html ทั้งนี้ แต่ละโปรแกรมอาจจะได้รับผลกระทบมากน้อยแตกต่างกัน หรืออาจโจมตีได้เฉพาะเมื่อเอกสารนั้นอยู่ภายใต้เงื่อนไขที่กำหนด
ทั้งนี้ นักวิจัยได้รายงานช่องโหว่ไปยังผู้พัฒนาโปรแกรมอ่านไฟล์ PDF เพื่อขอให้แก้ไขปัญหาดังกล่าวแล้ว ตัวอย่างโค้ดโจมตีช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแต่ยังไม่พบรายงานการโจมตี เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้ควรตรวจสอบรายการโปรแกรมที่ได้รับผลกระทบและอัปเดตให้เป็นเวอร์ชันล่าสุด
—————————————————————
ที่มา : ThaiCERT / 24 กรกฎาคม 2563
Link : https://www.thaicert.or.th/newsbite/2020-07-24-01.html