Desarrollan el PDFex que puede filtrar datos de archivos PDF cifrados

Desarrollan el PDFex que puede filtrar datos de archivos PDF cifrados

Un equipo de seis académicos de la Universidad Ruhr-Bochum y la Universidad Münster en Alemania, han descubierto problemas con el soporte de cifrado del estándar PDF.

Un grupo de académicos alemanes desarrolló un “nuevo ataque” que puede extraer y robar datos de archivos PDF cifrados, a veces sin interacción del usuario.

Llamado PDFex, el nuevo ataque viene en dos variaciones y se probó con éxito en 27 visores de PDF de escritorio y web, incluido un software popular como Adobe Acrobat, Foxit Reader, Evince, Nitro y los visores de PDF integrados de Chrome y Firefox.

El ataque no tiene como objetivo la encriptación aplicada a un documento PDF por software externo, sino los esquemas de encriptación compatibles con el estándar Portable Document Format (PDF).

El estándar PDF admite el cifrado nativo para que las aplicaciones logren cifrar archivos que pueden abrirse con cualquier otra aplicación, y evitar el bloqueo del usuario para un software PDF específico, debido al uso de esquemas de cifrado sospechosos.

Problemas con el soporte de cifrado de PDF

Sin embargo, el equipo de seis académicos de la Universidad Ruhr-Bochum y la Universidad Münster en Alemania, han descubierto problemas con el soporte de cifrado del estándar PDF.

"Nuestros ataques permiten la recuperación de todo el texto sin formato de los documentos encriptados mediante el uso de canales de exfiltración que se basan en propiedades de PDF que cumplen con los estándares”, dijo el equipo de investigación.

Los investigadores indicaron que los documentos PDF encriptados son vulnerables a dos tipos de ataques. Las dos variaciones no tienen nombres especiales, pero se conocen por el método que utilizan para llevar a cabo el ataque y extraer datos.

El primero, llamado “exfiltración directa”, aprovecha el hecho de que las aplicaciones PDF no cifran la totalidad de un archivo PDF, dejando algunas partes sin cifrar.

La “trampa explosiva”

Aseguraron que un atacante puede alterar estos campos no encriptados y crear un archivo PDF con “trampa explosiva” que cuando se desencripta y abre intentará enviar el contenido del archivo a un atacante.

Esto se puede lograr de tres maneras:

1.- Modificando los datos de texto sin formato de un archivo PDF para agregar un formulario PDF que envía automáticamente el contenido del PDF al servidor del atacante cuando la víctima descifra y abre un PDF cifrado.

2.- Modificando los datos de texto sin formato de un archivo PDF para agregar un enlace que se activa automáticamente cuando la víctima descifra y abre un PDF cifrado;

3.- Modificando los datos de texto sin formato de un archivo PDF para agregar código JavaScript que se ejecuta automáticamente cuando la víctima descifra y abre un PDF cifrado.

De los tres ataques PDFex de “exfiltración directa”, el primero es el más fácil de realizar y el más eficiente, ya que no requiere la interacción del usuario. El segundo requiere abrir un navegador externo, una acción que un usuario podría evitar.

El tercero es el método menos confiable, principalmente porque muchas aplicaciones PDF limitan el soporte de JavaScript debido a otros riesgos de seguridad al tener archivos PDF ejecutando código JS en segundo plano.

Instan a corregir la vulnerabilidad de PDF

“Nuestra evaluación muestra que entre 27 lectores de PDF ampliamente utilizados, todos ellos son vulnerables a al menos uno de esos ataques”, dijo el equipo de investigación.

“Estos resultados alarmantes naturalmente plantean la cuestión de las causas fundamentales de los ataques prácticos de descifrado de exfiltración. Identificamos dos de ellos”, agregó el equipo alemán.

“Primero, muchos formatos de datos permiten encriptar solo partes del contenido (por ejemplo, XML, S / MIME, PDF). Esta flexibilidad de encriptación es difícil de manejar y permite que un atacante incluya su propio contenido, lo que puede conducir a canales de exfiltración. Esto debe corregirse en futuras especificaciones de PDF”, apuntaron.