Sicherheitslücken in PDF-Verschlüsselung

Verschlüsselte PDF-Dokumente sollen eine vertrauliche Übermittlung von Daten ermöglichen. Doch offenbar können Cyberkriminelle die Dokumente trotz Verschlüsselung manipulieren und lesen.

Forscher der Ruhr-Universität Bochum und der FH Münster haben die Sicherheitslücken in der PDF-Verschlüsselung aufgedeckt. Sie haben 27 verbreitete PDF-Reader für Windows, Mac-OS und Linux getestet, darunter die gängigen Anwendungen Adobe Acrobat und Foxit. Das Ergebnis: Alle Reader waren verwundbar. 

Patientendaten in Gefahr

PDF-Verschlüsselung kommt in vielen Bereichen zum Einsatz, um vertrauliche Dokumente sicher über das Netz auszutauschen. So können etwa viele medizinische IT-Systeme und -Geräte beispielsweise die Gesundheitsakten der Patienten als PDF verschlüsseln und übertragen. Auch netzwerkfähige Drucker und Scanner bieten PDF-Verschlüsselung an, um eingescannte Dokumente zu schützen. 

Bei ihrer Arbeit gingen die Forscher davon aus, dass der Angreifer Zugriff auf ein verschlüsseltes PDF-Dokument erhält, indem er zum Beispiel eine E-Mail an das Opfer abfängt. Auch ohne das Passwort zum Entschlüsseln des Dokuments zu besitzen, kann der Angreifer die Datei manipulieren und darin Befehle für eine spätere Aktion verstecken. Dann leitet er das manipulierte verschlüsselte PDF-Dokument an das Opfer weiter. Sobald das Opfer das Passwort eingibt und das Dokument öffnet, wird der versteckte Befehl ausgeführt und der nun entschlüsselte Inhalt automatisch an den Angreifer geschickt.

Zwei Sicherheitslücken

Möglich wurde diese Angriffsart durch zwei Schwachstellen, Direct Exfiltration und CBC Gadgets genannt. Alle getesteten Desktop-Anwendungen zum Lesen von PDF-Dokumenten enthielten mindestens eine der beiden Sicherheitslücken. 

Da die Sicherheitslücken weit verbreitet waren, haben die Wissenschaftler sie bereits im Mai 2019 dem Computer Emergency Response Team des Bundesamtes für Sicherheit in der Informationstechnik gemeldet. Die Gruppe um Prof. Dr. Jörg Schwenk vom Bochumer Horst-Görtz-Institut für IT-Sicherheit half gemeinsam mit Fabian Ising und Prof. Dr. Sebastian Schinzel vom Institut für Gesellschaft und Digitales der FH Münster, die Schwachstellen zu schließen. 

PDF-Reader prüfen

Die Forscher raten allen Nutzern von PDF-Readern zu überprüfen, ob sie die vom Angriff betroffene oder eine ältere Version installiert haben. Falls ja, sollten sie ein Software-Update durchführen. Wenn kein Update verfügbar ist, empfiehlt es sich dringend den Softwareanbieter zu kontaktieren. Die Ergebnisse ihrer Tests sowie eine Übersicht über die betroffenen Anwendungen haben die Wissenschaftler online veröffentlicht.