Cerchi modi per sbloccare e leggere il contenuto di un PDF crittografato senza conoscere la password? E’ purtroppo possibile farlo a seguito di una nuova serie di tecniche di attacchi hacker che potrebbero consentire agli aggressori di accedere all’intero contenuto di un file PDF protetto da password o crittografato (anche se solo in alcune circostanze specifiche).
PDFex, attacco per leggere i pdf protetti da password
L’autorevole testata di settore The Hacker News ha recentemente parlato di PDFex, la nuova serie di tecniche include due tipi di attacchi che sfruttano i punti deboli della sicurezza nella protezione standard di crittografia integrata nel Portable Document Format, meglio noto come PDF.
Come funziona?
Gli attacchi PDFex non consentono a un utente malintenzionato di conoscere o rimuovere la password per un PDF crittografato, ma danno la possibilità invece agli aggressori di esfiltrare in remoto il contenuto una volta che un utente apre quel documento.
PDFex consente agli aggressori di modificare un documento PDF protetto pur senza possedere la password: quando qualcuno aprirà il file immettendo la corretta password, il file invierà automaticamente una copia del contenuto decrittografato all’utente malintenzionato.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
PDFex: i risultati dei test dei ricercatori
I ricercatori hanno testato i loro attacchi PDFex contro 27 visualizzatori PDF ampiamente utilizzati, sia per desktop che per browser, e li hanno trovati tutti vulnerabili ad almeno uno dei due attacchi, sebbene la maggior parte sia risultata vulnerabile a entrambi.
I visualizzatori PDF interessati includono software popolari per sistemi operativi desktop Windows, macOS e Linux come:
- Adobe Acrobat;
- Foxit Reader;
- Okular;
- Evince;
- Netro Reader;
… oltre al visualizzatore PDF integrato nei browser Web:
- Chrome;
- Firefox;
- Safari;
- Opera.
Gli attacchi PDFex sfruttano due vulnerabilità PDF
Scoperto da un team di ricercatori tedeschi sulla sicurezza, l’attacco PDFex ha successo per via di due principali vulnerabilità della crittografia PDF, come descritto di seguito
1. Crittografia parziale – Le specifiche PDF standard by design supportano la crittografia parziale che consente di crittografare solo stringhe e flussi, mentre gli oggetti che definiscono la struttura del documento PDF rimangono non crittografati.
In questo modo, questa miscela di crittografia e testi in chiaro offre agli aggressori la possibilità di manipolare facilmente la struttura del documento e iniettare in esso il payload dannoso.
Queste azioni, come quelle elencato di seguito, definiscono il modo in cui un utente malintenzionato remoto può esfiltrare il contenuto:
- invio di un modulo;
- richiamo di un URL;
- esecuzione di JavaScript.
“L’azione fa riferimento alle parti crittografate come contenuto da includere nelle richieste e può quindi essere utilizzato per esfiltrare il loro testo in chiaro su un URL arbitrario“, si legge nel documento realizzato dai ricercatori.
2. Malleabilità del testo cifrato – la crittografia PDF utilizza la modalità di crittografia Cipher Block Chaining (CBC) senza controlli di integrità, può essere quindi sfruttata dagli aggressori per creare parti di testo crittografato auto-esfiltranti.
Qui l’attaccante modifica il contenuto crittografato esistente o crea nuovo contenuto dai gadget CBC per aggiungere azioni che consentono la decifrazione dei dati.
Vuoi fare una prova? Exploit PoC rilasciati per attacchi PDFex
Il team di ricercatori, che comprende sei accademici tedeschi della Ruhr-University di Bochum e della Münster University, ha condiviso le proprie scoperte a tutti i venditori interessati e ha anche rilasciato al pubblico un exploit di prova per gli attacchi PDFex.
Solo una gestione proattiva della sicurezza informatica può prevenire queste situazioni o, nel peggiore dei casi, consentire almeno una rapida circoscrizione del problema in attesa di una sua risoluzione.
Interessato a un consiglio di sicurezza informatica? Chiedi a Noi Sicurezza:
CHIEDI INFORMAZIONI