Zespół niemieckich naukowców opracował nową metodę ataku zdolną do wydobywania i kradzieży danych z zaszyfrowanych plików PDF.
Nowy atak o nazwie PDFex występuje w dwóch wersjach. Był w stanie ukraść dane PDF w 27 stacjonarnych i internetowych czytnikach PDF, w tym Adobe Acrobat, Foxit Reader, Nitro oraz wbudowanych przeglądarkach PDF dla Chrome i Firefox.
PDFex w rzeczywistości nie jest ukierunkowany na szyfrowanie używane w dokumentach PDF przez oprogramowanie zewnętrzne. Celem ataku są schematy szyfrowania używane przez format Portable Document Format (PDF), co oznacza, że wszystkie pliki PDF są podatne na ataki, niezależnie od oprogramowania używanego do ich wyświetlania.
Podczas gdy standard PDF obsługuje natywne szyfrowanie, zespół sześciu naukowców z Uniwersytetu Ruhry i Uniwersytetu w Münster w Niemczech odkrył problemy z obsługą szyfrowania przez ten standard i wykorzystał je do stworzenia PDFex.
Odmiany PDFex
Według wpisu na blogu opublikowanego przez badaczy, zaszyfrowane dokumenty PDF są podatne na dwa rodzaje ataków, znanych ze sposobu przeprowadzania ataku i eksfiltracji danych.
Pierwsza, zwana „eksfiltracją bezpośrednią”, wykorzystuje fakt, że oprogramowanie PDF nie szyfruje całego pliku PDF i pozostawia jego części niezaszyfrowane. Zmieniając te niezaszyfrowane pola, osoba atakująca może utworzyć uwięziony plik PDF, który będzie próbował zwrócić zawartość pliku atakującemu podczas odszyfrowywania i otwierania.
Celem drugiego wariantu ataku PDFex są części zaszyfrowanego pliku PDF. Korzystając z gadżetów CBC, osoba atakująca może edytować dane tekstowe przechowywane w pliku PDF u źródła. Oznacza to, że osoba atakująca może użyć urządzenia CBC do zmodyfikowania zaszyfrowanej zawartości w celu utworzenia zaszyfrowanych plików PDF, które wysyłają własną zawartość do zdalnych serwerów za pośrednictwem formularzy PDF lub adresów URL.
Wszystkie warianty PDFex wymagają ataku w celu modyfikacji zaszyfrowanych plików PDF użytkownika. Jednak aby to zrobić, muszą albo przechwycić ruch sieciowy ofiary, albo uzyskać fizyczny dostęp do swoich urządzeń lub pamięci masowej.
Ogólnie rzecz biorąc, PDFex jest główną luką w standardzie PDF, a zespół badawczy odpowiedzialny za nowy atak przedstawi swoje odkrycia na Konferencji ACM poświęconej bezpieczeństwu komputerowemu i komunikacji w przyszłym miesiącu.
Poprzez ZDNet