Digital Signature Spoofing

Os mantenedores do LibreOffice e do OpenOffice enviaram atualizações de segurança para seu software com o intuito de remediar várias vulnerabilidades que poderiam ser transformadas em armas por agentes mal-intencionados para alterar documentos e fazê-los parecer que foram assinados digitalmente por uma fonte confiável.

A lista das três falhas são:

A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor manipule o carimbo da data  / hora de documentos ODF assinados e, pior, altere o conteúdo de um documento ou auto assine um documento com uma assinatura não confiável, que é então ajustado para alterar o algoritmo de assinatura para um inválido ou algoritmo desconhecido.

Em ambos os dois últimos cenários de ataque – originado como resultado de validação de certificado imprópria – o LibreOffice exibe incorretamente um indicador assinado de forma válida sugerindo que o documento não foi adulterado desde a assinatura e apresenta uma assinatura com um algoritmo desconhecido como uma assinatura legítima emitida por uma parte confiável.

Os pontos fracos foram corrigidos no OpenOffice versão 4.1.11 e no LibreOffice versões 7.0.5, 7.0.6, 7.1.1 e 7.1.2. A universidade Ruhr-Bochum recebeu o crédito por descobrir e relatar todos os três problemas.

As descobertas são as mais recentes em uma série de falhas descobertas pelos pesquisadores da Ruhr-University Bochum e seguem técnicas de ataque semelhantes divulgadas no início deste ano que podem permitir que um adversário modifique o conteúdo visível de um documento PDF certificado exibindo conteúdo malicioso sobre o conteúdo certificado, sem invalidando sua assinatura.

Os usuários do LibreOffice e do OpenOffice são aconselhados a atualizar para a versão mais recente para mitigar o risco associado às falhas.

REFERÊNCIAS:

https://thehackernews.com/2021/10/digital-signature-spoofing-flaws.html

https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.11+Release+Notes

https://en.wikipedia.org/wiki/Digital_signature#Some_digital_signature_algorithms