Todos os 27 aplicativos visualizadores de desktop e Web PDF testados foram considerados vulneráveis ​​de uma maneira ou de outra.

Por 

PDFex

Os acadêmicos alemães desenvolveram um novo ataque que pode extrair e roubar dados de arquivos PDF criptografados, às vezes sem interação do usuário.

Nomeado PDFex, o novo ataque ocorre em duas variações e foi testado com sucesso em 27 visualizadores de PDF para desktop e Web, incluindo softwares populares como Adobe Acrobat, Foxit Reader, Evince, Nitro e visualizadores de PDF incorporados no Chrome e Firefox.

O ataque não tem como alvo a criptografia aplicada a um documento PDF por software externo, mas sim os esquemas de criptografia suportados pelo padrão Portable Document Format (PDF).

O padrão PDF suporta criptografia nativa para que os aplicativos PDF possam criptografar arquivos que podem ser abertos por qualquer outro aplicativo e evitem o bloqueio do usuário por um software PDF específico devido ao uso de esquemas de criptografia obscuros.

No entanto, uma equipe de seis acadêmicos da Ruhr-University Bochum e da Universidade de Münster, na Alemanha, descobriu problemas com o suporte à criptografia do padrão PDF.

“Nossos ataques permitem a recuperação de todo o texto não criptografado de documentos criptografados usando canais de exfiltração baseados em propriedades PDF compatíveis com o padrão”, afirmou a equipe de pesquisa.

VARIAÇÃO # 1 DO PDFEX

Os pesquisadores dizem que documentos PDF criptografados são vulneráveis ​​a dois tipos de ataques. As duas variações não têm nomes especiais, mas são conhecidas pelo método usado para executar os ataques e exfiltrar os dados.

O primeiro – chamado “exfiltração direta” – tira proveito do fato de que os aplicativos PDF não criptografam a totalidade de um arquivo PDF, deixando algumas partes não criptografadas.

A equipe de pesquisa diz que um invasor pode violar esses campos não criptografados e criar um arquivo PDF com armadilha, que quando descriptografado e aberto tentará enviar o conteúdo do arquivo de volta para o invasor.

Isso pode ser alcançado de três maneiras:

  1. alterando os dados em texto sem formatação de um arquivo PDF para adicionar um formulário PDF que envia automaticamente o conteúdo do PDF para o servidor do invasor quando a vítima descriptografa e abre um PDF criptografado;
  2. alterando os dados de texto sem formatação de um arquivo PDF para adicionar um link que dispara automaticamente quando a vítima descriptografa e abre um PDF criptografado;
  3. alterando os dados de texto sem formatação de um arquivo PDF para adicionar código JavaScript que é executado automaticamente quando a vítima descriptografa e abre um PDF criptografado.

Dos três ataques de “exfiltração direta” do PDFex, o primeiro é o mais fácil de executar e mais eficiente, pois não requer interação do usuário. O segundo exige a abertura de um navegador externo, uma ação que um usuário pode impedir.

O terceiro é o método menos confiável, principalmente porque muitos aplicativos PDF limitam o suporte a JavaScript devido a outros riscos de segurança ao fazer com que os arquivos PDF executem o código JS em segundo plano.

VARIAÇÃO PDFEX # 2

A segunda variação de ataque do PDFex não segue as partes não criptografadas de um arquivo PDF, mas as que são criptografadas. Faz isso usando gadgets da CBC. Esses são pedaços de código que são executados no conteúdo criptografado e modificam os dados de texto sem formatação em sua origem.

“Os dispositivos da CBC significam que o texto cifrado é modificado para se exfiltrar após descriptografia”, disse Sebastian Schinzel, um dos pesquisadores do PDFex, no Twitter.

Sebastian Schinzel@seecurity

CBC gadgets means that the ciphertext is modified to exfiltrate itself after decryption. 5/n

Sebastian Schinzel@seecurity

This works because a) the PDF standard allows a mix of plaintext and encrypted content b) it defines no authentication method for encryption (i.e. not MAC) and c) it allows fetching content from and posting content to remote HTTP servers. 6/n

See Sebastian Schinzel’s other Tweets

Assim como no primeiro, também existem três variações menores de um ataque de gadget PDFex CBC. Os dois primeiros são idênticos aos do primeiro ataque.

Um invasor pode usar um gadget CBC para modificar o conteúdo criptografado para criar arquivos PDF com armadilha dupla que enviam seu próprio conteúdo para servidores remotos por meio de formulários ou URLs em PDF.

O terceiro ataque de gadget da CBC depende da modificação de um fluxo de objetos PDF legítimo (dados compactados) de maneira maliciosa; assim, novamente, o arquivo PDF envia seu conteúdo para um servidor remoto após ser descriptografado e aberto em um aplicativo visualizador de PDF vulnerável.

RESULTADOS PDFEX

“Nossa avaliação mostra que entre os 27 visualizadores de PDF amplamente utilizados, todos estão vulneráveis ​​a pelo menos um desses ataques”, afirmou a equipe de pesquisa.

“Esses resultados alarmantes naturalmente levantam a questão das causas principais dos ataques práticos de exfiltração por descriptografia. Identificamos dois deles”, disseram os pesquisadores.

“Primeiro, muitos formatos de dados permitem criptografar apenas partes do conteúdo (por exemplo, XML, S / MIME, PDF). Essa flexibilidade de criptografia é difícil de manusear e permite que um invasor inclua seu próprio conteúdo, o que pode levar a canais de exfiltração.

“Segundo, quando se trata de criptografia, o AES-CBC – ou criptografia sem proteção de integridade em geral – ainda é amplamente suportado. Até a última especificação do PDF 2.0 lançada em 2017 ainda depende disso”, acrescentou a equipe de pesquisa.

“Isso deve ser corrigido nas especificações futuras do PDF.”

Todos esses ataques exigem que um invasor possa modificar arquivos PDF criptografados. Isso inclui uma posição para interceptar o tráfego de rede da vítima ou ter acesso físico a um sistema de armazenamento (como inspeções de dispositivos em um aeroporto, acessar a estação de trabalho de um funcionário enquanto ele estiver ausente e muito mais).

No entanto, afirmar que esses são critérios que diminuem a usabilidade do PDFex está errado. É exatamente nessas situações que a criptografia deveria se proteger, tornando o PDFex uma grande vulnerabilidade no padrão PDF.

TRABALHO PRÉVIO

A equipe de pesquisa de seis homens apresentará suas descobertas na Conferência da ACM sobre segurança de computadores e comunicações em meados de novembro.

Mais detalhes sobre essa pesquisa podem ser encontrados em um informe oficial intitulado ” Ex-filtragem prática de descriptografia: quebrando a criptografia de PDF “, nesta postagem do blog ou no site do PDF Insecurity .

Em fevereiro, essa mesma equipe de acadêmicos provou que as assinaturas digitais não funcionavam conforme o esperado na maioria dos visualizadores de PDF para computadores .

Eles também estão por trás do ataque EFAIL , que encontrou vulnerabilidades nas tecnologias de criptografia de ponta a ponta OpenPGP e S / MIME, usadas para criptografia de email.

Fonte: ZDNET