Команда немецких ученых разработала новый метод атаки, позволяющий извлекать и красть данные из зашифрованных PDF-файлов.
Новая атака под названием PDFex существует в двух версиях. Ему удалось украсть данные PDF в 27 настольных и веб-программах для чтения PDF-файлов, включая Adobe Acrobat, Foxit Reader, Nitro и встроенные программы просмотра PDF-файлов для Chrome и Firefox.
PDFex фактически не нацелен на шифрование, используемое в PDF-документах внешним программным обеспечением. Вместо этого атака нацелена на схемы шифрования, используемые в формате Portable Document Format (PDF), а это означает, что все файлы PDF уязвимы, независимо от программного обеспечения, используемого для их отображения.
Хотя стандарт PDF поддерживает собственное шифрование, группа из шести ученых из Рурского университета и Мюнстерского университета в Германии обнаружила проблемы, связанные с поддержкой шифрования стандартом, и использовала их для создания PDFex.
Варианты PDFex
Согласно сообщению в блоге, опубликованному исследователями, зашифрованные PDF-документы уязвимы для двух типов известных атак из-за метода, используемого для проведения атаки и кражи данных.
Первый, называемый «прямой эксфильтрацией», использует тот факт, что программное обеспечение PDF не шифрует весь PDF-файл и оставляет некоторые его части незашифрованными. Изменяя эти незашифрованные поля, злоумышленник может создать захваченный PDF-файл, который попытается вернуть злоумышленнику содержимое файла во время расшифровки и открытия.
Второй вариант атаки PDFex фокусируется на частях зашифрованного PDF-файла. Используя гаджеты CBC, злоумышленник может редактировать обычные текстовые данные, хранящиеся в PDF-файле в источнике. Это означает, что злоумышленник может использовать устройство CBC для изменения зашифрованного содержимого для создания перехваченных PDF-файлов, которые отправляют свой собственный контент на удаленные серверы через PDF-формы или URL-адреса.
Все варианты PDFex требуют атаки для изменения зашифрованных PDF-файлов пользователя. Однако для этого они должны перехватить сетевой трафик жертвы или иметь физический доступ к своим устройствам или хранилищу.
В целом PDFex представляет собой значительную уязвимость в стандарте PDF, и исследовательская группа, ответственная за новую атаку, представит свои выводы на конференции ACM по компьютерной безопасности и коммуникациям в следующем месяце.
Через ZDNet