Ученые научились извлекать данные из зашифрованных PDF-файлов
Команда из шести ученых из Мюнстерского университета и Рурского университета в Бохуме (Германия) разработала новую атаку, в рамках которой можно похищать данные из зашифрованных PDF-файлов, иногда без участия пользователя. Новая атака под названием PDFex представлена?? в двух вариантах и?? была успешно протестирована на 27 настольных и web-версиях программ для просмотра PDF, включая Adobe Acrobat, Foxit Reader, Evince, Nitro, а также встроенные расширения для просмотра PDF в браузерах Google Chrome и Mozilla Firefox.
Атака направлена?? не на шифрование, применяемое к документу PDF внешним программным обеспечением, а на сами схемы шифрования, поддерживаемые стандартом Portable Document Format (PDF). Стандарт PDF поддерживает собственное шифрование, позволяя приложениям шифровать файлы, которые могут быть открыты другой программой.
По словам исследователей, PDF-документы уязвимы к двум типам атак. Первый, так называемый "прямая эксфильтрация", использует тот факт, что PDF-приложения не шифруют весь PDF-файл, оставляя некоторые части незашифрованными. По словам ученых, злоумышленник может использовать данные незашифрованные поля для создания вредоносного PDF-документа, который при расшифровке и открытии будет отправлять содержимое файла злоумышленнику.
Ученые смоделировали три варианта атак типа "прямой эксфильтрации". Первый является наиболее простым в исполнении и наиболее эффективным, поскольку не требует взаимодействия с пользователем. Он предполагает внедрение в текст PDF-документа формы, которая автоматически отправляет содержимое файла на сервер атакующего. Для выполнения второго типа атак необходимо открытие внешнего браузера, которое может быть предотвращено пользователем. Метод предполагает добавление в незашифрованные данные PDF-документа ссылки, которая автоматически срабатывает при дешифровке и открытии файла. Третий метод предусматривает внедрение в данные документа кода JavaScript, автоматически запускающегося при дешифровании и открытии файла. Данный вариант - менее надежный метод, главным образом потому, что многие приложения PDF ограничивают поддержку JavaScript из-за других угроз безопасности, связанных с запуском кода JS в фоновом режиме.
Второй метод направлен на зашифрованные части PDF-файла с применением атаки CBC-гаджет (используется для включения в состав зашифрованного текста данных атакующего). Как и в первом случае, существует три варианта атаки - первые два идентичны атакам "прямой эксфильтрации". Третья атака основана на злонамеренном изменении объектов потока PDF (сжатых данных) таким образом, чтобы файл PDF отправлял содержимое на удаленный сервер после его дешифровки и открытия в уязвимом PDF-ридере.
