Pressemitteilung von Aysel Nixdorf

PDFex: Sicherheitsrisiko verschlüsselte PDF-Dateien? Erste Beurteilung und mögliche Alternativen

---

---

Paderborn, 30. September 2019 - Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, erläutert eine aktuelle Sicherheitslücke (PDFex) bei verschlüsselten PDF-Dateien.

Viele Firmen nutzen verschlüsselte PDF-Dateien, um z.B. mit ihren Kunden DSGVO-konform zu kommunizieren, wenn diese nicht über Zertifikate oder Schlüssel verfügen, um bewährte und sichere Verschlüsselungsverfahren wie S/MIME oder PGP nutzen zu können. Unter bestimmten Bedingungen können Inhalte von verschlüsselten PDFs zugänglich gemacht werden. Ähnlich wie schon bei der vor einem Jahr unter dem Titel "Efail" veröffentlichten Sicherheitslücke erfordert auch das nun beschriebene PDFex-Angriffsszenario, dass der Angreifer die Mail mit der angehängten verschlüsselten PDF-Datei abfängt und die PDF-Datei durch eigenen Schadcode verändert. Nach Eingabe des Schlüssels durch den Empfänger wird der Inhalt dann über den ergänzten Code an den Angreifer übermittelt. Das bedeutet, dass der Angriff ohne Mitwirkung des Empfängers nicht funktioniert.

Wer ist betroffen?

Der Angriff richtet sich ausschließlich gegen Empfänger von verschlüsselten und passwortgeschützten PDF-Dateien auf deren Client. Firmen, die Mail-Gateways nutzen, um ausgehende Mails automatisch DSGVO-konform zu versenden, sind nicht betroffen.

Welche Maßnahmen werden empfohlen?

- Wo möglich, konsequente Nutzung und Erzwingung von Transportverschlüsselung durch TLS beim Mailversand (Force-TLS) - hierdurch wird der Empfänger zuverlässig vor Man-in-the-Middle-Attacken geschützt

- Umfassende Prüfung der Absenderreputation im empfangenden Mail-Sicherheitssystem

- Durch intelligentes Anhangsmanagement können verschlüsselte PDF-Dateien von nicht bekannten Absendern entweder abgelehnt oder in einer Quarantäne zur weiteren Prüfung zurückgehalten werden

- Wenn ein besonders hohes Schutzbedürfnis besteht: Umstellung auf alternative Verfahren über ein Webportal

- Falls AES mit 256 Bit in der PDF-Verschlüsselung genutzt wird, kann auf 128 Bit umgestellt werden, da das Angriffsmuster bei AESV2 (AES128-CBC) erschwert ist

- Endanwender, die über die vorgenannten Möglichkeiten nicht verfügen, sollten passwortgeschützte verschlüsselte PDF-Dateien nur dann öffnen, wenn sie von vertrauenswürdigen Absendern kommen, die die vorgenannten Maßnahmen zum Schutz der Empfänger umgesetzt haben

- Endanwender sollten ihren PDF-Reader sofort auf die aktuellste Version umstellen. So ist der meistverwendete Adobe PDF-Reader in der aktuellen Version 2019.012.20040 vom 22.08.2019 bereits sicher vor dem berichteten Angriff

Bewertung des Angriffs-Szenarios

Nach Einschätzung des BSI und auch unserer Mail-Security-Experten ist die Wahrscheinlichkeit eines PDFex-Angriffs sehr gering und eine breite Verwendung des Angriffsmusters kaum möglich. Ein Grund hierfür ist vor allem, dass der Angreifer Zugang zum PDF - also der Mail - haben muss, was in der Regel schwer umsetzbar ist (er müsste sich ja bei einem Provider auf dem Weg der Mail eingenistet oder das Gateway kompromittiert haben). In der Praxis werden die Angriffe mit Blick auf den Aufwand und die Hürden eher mit nachrichtendienstlichen Zielen erfolgen und nicht in Form von klassischer Cyberkriminalität. Zudem waren die Angriffe der Forschungsgruppe nur bei teilweise und auch nur bei deutlich veralteten Softwareversionen erfolgreich.

Wie geht es weiter?

Die Nutzerakzeptanz von verschlüsselten PDFs ist im Vergleich zur Nutzung von Portallösungen - wie dem NoSpamProxy Webportal - deutlich höher. Dennoch sollten Organisationen mit besonderen Sicherheitsanforderungen die Möglichkeit in Betracht ziehen, auf die Bereitstellung über das Webportal umzustellen. Das kann durch eine einfache Konfigurationsänderung aktiviert werden. Um mögliche Akzeptanzprobleme zu minimieren, sollten die Nutzer entsprechend informiert werden. Für besonders sicherheitssensible Kunden wird NoSpamProxy kurzfristig eine angepasste Version bereitstellen, mit der diese Umstellung automatisch erfolgen kann.

Wenn Sie das Thema direkt mit uns diskutieren möchten, treffen Sie uns doch nächste Woche auf der it-sa. Sie können unter folgender URL einen Termin vereinbaren oder ein kostenloses Ticket für die it-sa anfordern: https://www.nospamproxy.de/de/it-sa-2019/

Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy:
https://www.nospamproxy.de

Hier finden Sie die Meldung der Universität Bochum:
https://news.rub.de/wissenschaft/2019-09-30-informationstechnik-sicherheitsluecken-pdf-verschluesselung Firmen- & Pressekontakt