Следующая новость
Предыдущая новость

Атака PDFex позволяет извлекать данные из зашифрованных файлов PDF

01.10.2019 19:44
Атака PDFex позволяет извлекать данные из зашифрованных файлов PDF

Рекомендуем почитать:

Xakep #245. Нейросети

  • Содержание выпуска
  • Подписка на «Хакер»

Сводная группа исследователей из Рурского университета и Мюнстерского университета представила атаку PDFex, при помощи которой можно извлекать и похищать данные из зашифрованных файлов PDF, порой даже без взаимодействия с пользователей. Атака успешно работает против 27 решений для просмотра PDF, включая такие популярные продукты, как Adobe Acrobat, Foxit Reader, Evince, Nitro, а также встроенные средства для просмотра PDF в Chrome и Firefox.

Метод исследователей направлен не на шифрование, применяемое к файлам PDF внешним программным обеспечением, но на сами схемы шифрования, поддерживаемые стандартом Portable Document Format (PDF). Так, стандарт PDF поддерживает собственное шифрование, таким образом, чтобы приложения PDF могли шифровать файлы, которые затем могли бы быть открыты любым другим приложением. Это позволяет пользователю не «зацикливаться» на одном конкретном решении для работы с PDF.

В своем докладе специалисты описывают два варианта PDFex. Первая вариация связана с прямым извлечением данных и полагает на то, что приложения для работы PDF не шифруют весь файл целиков, но оставляют некоторые части незашифрованными. Благодаря этому злоумышленник может модифицировать эти незашифрованные поля и создать вредоносный файл PDF, который после расшифровки и открытия будет пытаться отправить содержимое файла обратно злоумышленнику. Такого можно добиться тремя путями, в том числе, добавив в файл JavaScript или специальную ссылку, которые будут срабатывает после открытия и расшифровки файла.

Атака PDFex позволяет извлекать данные из зашифрованных файлов PDF

Второй вариант атаки PDFex напротив связан с зашифрованными частями PDF-файла и использует CBC-гаджеты. Как и в первом случае, злоумышленник может использовать CBC-гаджеты для изменения зашифрованного содержимого, чтобы создать вредоносный PDF-файл, который будет отправлять свое содержимое после расшифровки на удаленные серверы, например, с помощью форм PDF или URL.

Доклад специалистов гласит, что из 27 популярных программ для просмотра PDF все уязвимы как минимум перед одной из версий вышеописанных атак. Результаты тестов можно увидеть в таблице ниже.

Атака PDFex позволяет извлекать данные из зашифрованных файлов PDF

«Во-первых, многие форматы данных позволяют шифровать только части контента (например, XML, S / MIME, PDF). С такой гибкостью шифрования трудно иметь дело, и в результате злоумышленник может добавить свой собственный контент [в файл], что может привести к извлечению данных.
Во-вторых, когда дело доходит до шифрования, AES-CBC (и шифрование без защиты целостности) по-прежнему поддерживается весьма широко. Даже последняя спецификация PDF 2.0, выпущенная в 2017 году, все еще опирается на него. Это должно быть исправлено в будущих спецификациях PDF», — пишут эксперты.

Источник

Последние новости