Una investigación reciente muestra nuevas formas de ataque que podrían permitir a los atacantes acceder a todo el contenido de un archivo PDF encriptado o protegido con contraseña. Apodado como PDFex, el conjunto de técnicas que incluye dos clases de ataques, aprovecha de vulnerabilidades de seguridad en la protección de cifrado estándar integrada en el formato de documento portátil, más bien conocido como PDF.
Cabe destacar que los ataques PDFex no permiten que un atacante sepa o elimine la contraseña de un PDF cifrado; en lugar de ello, permite que los atacantes extraigan contenido de forma remota una vez que un usuario legítimo abra ese documento.
En otras palabras, PDFex permite a los atacantes modificar un documento PDF protegido, sin tener la contraseña correspondiente, de tal manera que cuando alguien lo abra con la contraseña correcta, el archivo enviará automáticamente una copia del contenido descifrado a un atacante remoto hacia su servidor de comando y control.
Los investigadores probaron los ataques PDFex contra 27 visores de PDF ampliamente utilizados, tanto para computadoras de escritorio como para navegadores, encontrando vulnerables a al menos uno de los dos ataques, aunque la mayoría se encontró vulnerable a ambos ataques. Los visores de PDF afectados incluyen populares softwares para sistemas operativos de escritorio ya sea Windows, MacOS, Linux para Adobe Acrobat, Foxit Reader, Okular. Mostrar, Nitro Reader. Así como el visor de PDF que viene integrado en los navegadores web: Chrome, Firefox, Safari, Opera.
Descubierto por un equipo de investigadores de seguridad alemanes, PDFex funciona debido a dos vulnerabilidades principales del cifrado PDF:
1) Cifrado parcial: la especificación estándar de PDF por diseño admite el cifrado parcial que permite que solo se cifren cadenas y secuencias, mientras que los objetos que definen la estructura del documento PDF permanecen sin cifrar. Por lo tanto, el soporte para mezclar textos cifrados con textos simples deja una oportunidad para que los atacantes manipulen fácilmente la estructura del documento e inyecten una carga maliciosa en ella.
2) Ciphertext Malleability: el cifrado de PDF utiliza el modo de cifrado Cipher Block Chaining (CBC) sin controles de integridad, que pueden ser explotados por los atacantes para crear partes de texto cifrado auto-exfiltrados.
REFERENCIA
COMENTARIOS