Что ж, теперь это возможно, в некотором роде, благодаря новому набору методов атаки, которые могут позволить злоумышленникам получить доступ ко всему содержимому защищенного паролем или зашифрованного файла PDF, но при определенных обстоятельствах.
Дублированный PDFex , новый набор методов включает в себя два класса атак, которые используют слабые места безопасности в стандартной защите шифрования, встроенной в Portable Document Format, более известный как PDF.
Следует отметить, что атаки PDFex не позволяют злоумышленнику узнать или удалить пароль для зашифрованного PDF; вместо этого включите злоумышленников для удаленной фильтрации содержимого, как только законный пользователь откроет этот документ.
Другими словами, PDFex позволяет злоумышленникам изменять защищенный документ PDF, не имея соответствующего пароля, таким образом, что при открытии кем-либо с правильным паролем файл автоматически отправляет копию дешифрованного содержимого удаленному злоумышленнику. контролируемый сервер в интернете.
Исследователи проверили свои атаки PDFex против 27 широко используемых программ просмотра PDF, как для настольных компьютеров, так и для браузеров, и обнаружили, что все они уязвимы по крайней мере для одной из двух атак, хотя большинство из них были признаны уязвимыми для обеих атак.
Уязвимые средства просмотра PDF включают в себя популярное программное обеспечение для настольных операционных систем Windows, macOS и Linux, такое как:
- Adobe Acrobat
- Foxit Reader
- Okular
- выказывать
- Nitro Reader
... а также средство просмотра PDF, встроенное в веб-браузеры:
- Хром
- Fire Fox
- Сафари
- опера
Атаки PDFex используют две уязвимости PDF
1) Частичное шифрование - стандартная спецификация PDF по своей конструкции поддерживает частичное шифрование, которое позволяет шифровать только строки и потоки, в то время как объекты, определяющие структуру документа PDF, остаются незашифрованными.
Таким образом, поддержка смешивания зашифрованных текстов с открытыми текстами оставляет злоумышленникам возможность легко манипулировать структурой документа и внедрять в него вредоносную информацию.
2.) Возможность использования зашифрованного текста - при шифровании PDF используется режим шифрования Cipher Block Chaining (CBC) без проверки целостности, который может использоваться злоумышленниками для создания частей самошифрующегося зашифрованного текста.
Классы атак PDFex: прямая эксфильтрация и гаджеты CBC
Теперь давайте кратко разберемся с двумя классами атак PDFex.
Класс 1: прямая эксфильтрация - он использует функцию частичного шифрования защищенного PDF-файла.
- Отправка формы
- Вызов URL
- Выполнение JavaScript
«Действие ссылается на зашифрованные части как на контент, который должен быть включен в запросы, и, таким образом, может использоваться для отфильтровывания их открытого текста по произвольному URL», - говорится в документе.
«Выполнение действия может быть инициировано автоматически после открытия PDF-файла (после расшифровки) или с помощью взаимодействия с пользователем, например, путем нажатия внутри документа».
Например, как показано на рисунке, объект, который содержит URL (синего цвета) для отправки формы, не зашифрован и полностью контролируется злоумышленником.
Класс 2. Гаджеты CBC. Не все средства просмотра PDF поддерживают частично зашифрованные документы, но многие из них также не имеют защиты целостности файлов, что позволяет злоумышленникам изменять данные открытого текста непосредственно в зашифрованном объекте.
PoC Exploit выпущен для атак PDFex
Команда исследователей, в которую входят шесть немецких ученых из Рурского университета в Бохуме и Мюнстерского университета, сообщила о своих выводах всем затронутым поставщикам, а также выпустила пробные версии эксплойтов для атак PDFex для общественности.
Для получения более подробной технической информации об атаках PDFex вы можете перейти на этот специальный веб-сайт, выпущенный исследователями, и исследовательскую работу [ PDF ] под названием «Практическая расшифровка exFiltration: ломая шифрование PDF».
