Все 27 протестированных настольных и web-приложений для просмотра PDF оказались уязвимыми.
Команда из шести ученых из Мюнстерского университета и Рурского университета в Бохуме (Германия) разработала новую атаку, в рамках которой можно похищать данные из зашифрованных PDF-файлов, иногда без участия пользователя. Новая атака под названием PDFex представлена в двух вариантах и была успешно протестирована на 27 настольных и web-версиях программ для просмотра PDF, включая Adobe Acrobat, Foxit Reader, Evince, Nitro, а также встроенные расширения для просмотра PDF в браузерах Google Chrome и Mozilla Firefox.
Атака направлена не на шифрование, применяемое к документу PDF внешним программным обеспечением, а на сами схемы шифрования, поддерживаемые стандартом Portable Document Format (PDF). Стандарт PDF поддерживает собственное шифрование, позволяя приложениям шифровать файлы, которые могут быть открыты другой программой.
По словам исследователей, PDF-документы уязвимы к двум типам атак. Первый, так называемый «прямая эксфильтрация», использует тот факт, что PDF-приложения не шифруют весь PDF-файл, оставляя некоторые части незашифрованными. По словам ученых, злоумышленник может использовать данные незашифрованные поля для создания вредоносного PDF-документа, который при расшифровке и открытии будет отправлять содержимое файла злоумышленнику.
Ученые смоделировали три варианта атак типа «прямой эксфильтрации».
Первый является наиболее простым в исполнении и наиболее эффективным, поскольку не требует взаимодействия с пользователем. Он предполагает внедрение в текст PDF-документа формы, которая автоматически отправляет содержимое файла на сервер атакующего. Для выполнения второго типа атак необходимо открытие внешнего браузера, которое может быть предотвращено пользователем. Метод предполагает добавление в незашифрованные данные PDF-документа ссылки, которая автоматически срабатывает при дешифровке и открытии файла. Третий метод предусматривает внедрение в данные документа кода JavaScript, автоматически запускающегося при дешифровании и открытии файла. Данный вариант — менее надежный метод, главным образом потому, что многие приложения PDF ограничивают поддержку JavaScript из-за других угроз безопасности, связанных с запуском кода JS в фоновом режиме.
Второй метод направлен на зашифрованные части PDF-файла с применением атаки CBC-гаджет (используется для включения в состав зашифрованного текста данных атакующего). Как и в первом случае, существует три варианта атаки — первые два идентичны атакам «прямой эксфильтрации». Третья атака основана на злонамеренном изменении объектов потока PDF (сжатых данных) таким образом, чтобы файл PDF отправлял содержимое на удаленный сервер после его дешифровки и открытия в уязвимом PDF-ридере.
Команда из шести ученых из Мюнстерского университета и Рурского университета в Бохуме (Германия) разработала новую атаку, в рамках которой можно похищать данные из зашифрованных PDF-файлов, иногда без участия пользователя. Новая атака под названием PDFex представлена в двух вариантах и была успешно протестирована на 27 настольных и web-версиях программ для просмотра PDF, включая Adobe Acrobat, Foxit Reader, Evince, Nitro, а также встроенные расширения для просмотра PDF в браузерах Google Chrome и Mozilla Firefox.
Атака направлена не на шифрование, применяемое к документу PDF внешним программным обеспечением, а на сами схемы шифрования, поддерживаемые стандартом Portable Document Format (PDF). Стандарт PDF поддерживает собственное шифрование, позволяя приложениям шифровать файлы, которые могут быть открыты другой программой.
По словам исследователей, PDF-документы уязвимы к двум типам атак. Первый, так называемый «прямая эксфильтрация», использует тот факт, что PDF-приложения не шифруют весь PDF-файл, оставляя некоторые части незашифрованными. По словам ученых, злоумышленник может использовать данные незашифрованные поля для создания вредоносного PDF-документа, который при расшифровке и открытии будет отправлять содержимое файла злоумышленнику.
Ученые смоделировали три варианта атак типа «прямой эксфильтрации».
Первый является наиболее простым в исполнении и наиболее эффективным, поскольку не требует взаимодействия с пользователем. Он предполагает внедрение в текст PDF-документа формы, которая автоматически отправляет содержимое файла на сервер атакующего. Для выполнения второго типа атак необходимо открытие внешнего браузера, которое может быть предотвращено пользователем. Метод предполагает добавление в незашифрованные данные PDF-документа ссылки, которая автоматически срабатывает при дешифровке и открытии файла. Третий метод предусматривает внедрение в данные документа кода JavaScript, автоматически запускающегося при дешифровании и открытии файла. Данный вариант — менее надежный метод, главным образом потому, что многие приложения PDF ограничивают поддержку JavaScript из-за других угроз безопасности, связанных с запуском кода JS в фоновом режиме.
Второй метод направлен на зашифрованные части PDF-файла с применением атаки CBC-гаджет (используется для включения в состав зашифрованного текста данных атакующего). Как и в первом случае, существует три варианта атаки — первые два идентичны атакам «прямой эксфильтрации». Третья атака основана на злонамеренном изменении объектов потока PDF (сжатых данных) таким образом, чтобы файл PDF отправлял содержимое на удаленный сервер после его дешифровки и открытия в уязвимом PDF-ридере.