Un team di accademici tedeschi ha sviluppato un nuovo metodo di attacco in grado di estrarre e rubare dati da file PDF crittografati.
Il nuovo attacco, chiamato PDFex, è disponibile in due versioni. È stato in grado di rubare dati PDF in 27 lettori PDF basati sul Web e desktop, inclusi Adobe Acrobat, Foxit Reader, Nitro e visualizzatori PDF integrati per Chrome e Firefox.
PDFex in realtà non prende di mira la crittografia utilizzata sui documenti PDF da un software esterno. Invece, l'attacco prende di mira gli schemi di crittografia utilizzati dal Portable Document Format (PDF), il che significa che tutti i file PDF sono vulnerabili, indipendentemente dal software utilizzato per visualizzarli.
Sebbene lo standard PDF supporti la crittografia in modo nativo, un team di sei accademici dell'Università della Ruhr e dell'Università di Münster in Germania ha scoperto problemi relativi al supporto della crittografia da parte dello standard e li ha utilizzati per creare PDFex.
PDFex Variazioni
Secondo un post sul blog pubblicato dai ricercatori, i documenti PDF crittografati sono vulnerabili a due tipi di attacchi noti per il metodo utilizzato per eseguire l'attacco e per far trapelare i dati.
Il primo, chiamato "esfiltrazione diretta", sfrutta il fatto che il software PDF non crittografa un intero file PDF e lascia alcune parti non crittografate. Modificando questi campi non crittografati, un utente malintenzionato può creare un file PDF bloccato che tenterà di restituire il contenuto del file a un utente malintenzionato durante la decrittografia e l'apertura.
La seconda variante dell'attacco PDFex prende di mira parti di un file PDF crittografato. Utilizzando i gadget CBC, un utente malintenzionato può modificare i dati di testo normale archiviati in un file PDF all'origine. Ciò significa che un utente malintenzionato può utilizzare un dispositivo CBC per modificare il contenuto crittografato per creare file PDF bloccati che inviano il proprio contenuto a server remoti tramite moduli PDF o URL.
Tutte le varianti di PDFex richiedono un attacco per modificare i file PDF crittografati dell'utente. Tuttavia, per fare ciò, devono intercettare il traffico di rete di una vittima o avere accesso fisico ai propri dispositivi o archiviazione.
Nel complesso, PDFex è una delle principali vulnerabilità dello standard PDF e il team di ricerca responsabile del nuovo attacco presenterà i propri risultati alla conferenza ACM sulla sicurezza informatica e le comunicazioni il prossimo mese.
Tramite ZDNet