¿Busca formas de desbloquear y leer el contenido de un PDF encriptado sin conocer la contraseña?

Bueno, eso es posible, más o menos, gracias a un novedoso conjunto de técnicas de ataque que podrían permitir a los atacantes acceder a todo el contenido de un archivo PDF encriptado o protegido con contraseña, pero en algunas circunstancias específicas.

Apodado PDFex , el nuevo conjunto de técnicas incluye dos clases de ataques que aprovechan las debilidades de seguridad en la protección de cifrado estándar integrada en el formato de documento portátil, mejor conocido como PDF.

Cabe señalar que los ataques PDFex no permiten que un atacante sepa o elimine la contraseña de un PDF cifrado; en su lugar, permita que los atacantes extraigan contenido de forma remota una vez que un usuario legítimo abra ese documento.

En otras palabras, PDFex permite a los atacantes modificar un documento PDF protegido, sin tener la contraseña correspondiente, de tal manera que cuando alguien lo abra con la contraseña correcta, el archivo enviará automáticamente una copia del contenido descifrado a un atacante remoto. servidor controlado en Internet.

Los investigadores probaron sus ataques PDFex contra 27 visores PDF ampliamente utilizados, tanto para computadoras de escritorio como para navegadores, y los encontraron vulnerables a al menos uno de los dos ataques, aunque la mayoría se encontró vulnerable a ambos ataques.

Los visores de PDF afectados incluyen software popular para sistemas operativos de escritorio Windows, macOS y Linux como:

  • Adobe Acrobat
  • Foxit Reader
  • Okular
  • Mostrar
  • Nitro Reader

… así como el visor de PDF que viene integrado en los navegadores web:

  • Cromo
  • Firefox
  • Safari
  • Ópera

Los ataques de PDFex aprovechan dos vulnerabilidades de PDF

 

cifrado de archivos pdf

Descubierto por un equipo de investigadores de seguridad alemanes, PDFex funciona debido a las dos debilidades principales en el cifrado de PDF, como se describe a continuación:

1) Cifrado parcial: la especificación estándar de PDF por diseño admite el cifrado parcial que permite que solo se cifren cadenas y secuencias, mientras que los objetos que definen la estructura del documento PDF permanecen sin cifrar.

Por lo tanto, el soporte para mezclar textos cifrados con textos simples deja una oportunidad para que los atacantes manipulen fácilmente la estructura del documento e inyecten una carga maliciosa en ella.

2.) Ciphertext Malleability: el cifrado de PDF utiliza el modo de cifrado Cipher Block Chaining (CBC) sin controles de integridad, que pueden ser explotados por los atacantes para crear partes de texto cifrado autoexfiltrantes.

PDFex Attack Classes: Exfiltración directa y gadgets CBC

Ahora, comprendamos brevemente las dos clases de ataques PDFex.
Clase 1: Exfiltración directa: abusa de la función de cifrado parcial de un archivo PDF protegido.

piratear contraseña pdf

Al dejar intacto el contenido que se va a filtrar, un atacante puede agregar objetos no cifrados adicionales en un PDF cifrado dirigido, que puede usarse para definir una acción maliciosa que se realizará cuando un usuario legítimo lo abra con éxito.

Estas acciones, como se enumeran a continuación, definen la forma en que un atacante remoto puede filtrar el contenido:

  • Enviar un formulario
  • Invocar una URL
  • Ejecutando JavaScript

«La Acción hace referencia a las partes encriptadas como contenido que se incluirá en las solicitudes y, por lo tanto, se puede utilizar para filtrar su texto sin formato a una URL arbitraria», se lee en el documento.

«La ejecución de la Acción se puede activar automáticamente una vez que se abre el archivo PDF (después del descifrado) o mediante la interacción del usuario, por ejemplo, haciendo clic dentro del documento».

Por ejemplo, como se muestra en la imagen, el atacante no cifra y controla completamente el objeto que contiene la URL (en color azul) para el envío del formulario.

Clase 2: Gadgets CBC: no todos los visores de PDF admiten documentos parcialmente cifrados, pero muchos de ellos tampoco tienen protección de integridad de archivos, lo que permite a los atacantes modificar los datos de texto sin formato directamente dentro de un objeto cifrado.

eliminar la protección de contraseña pdf

El escenario de ataque de los ataques basados ​​en dispositivos CBC es casi el mismo que los ataques de Exfiltración Directa, con la única diferencia de que aquí el atacante modifica el contenido cifrado existente o crea contenido nuevo a partir de dispositivos CBC para agregar acciones que definan cómo filtrar datos.

Además de esto, si un PDF contiene flujos comprimidos para reducir el tamaño del archivo, los atacantes deben usar flujos de objetos entreabiertos para robar los datos.

PoC Exploit lanzado para ataques PDFex

El equipo de investigadores, que incluye seis académicos alemanes de la Universidad Ruhr-Bochum y la Universidad de Münster, informó sus hallazgos a todos los proveedores afectados y también lanzó  al público exploits de prueba de concepto para ataques PDFex.

piratear contraseña pdf

Algunas de las investigaciones previas realizadas por el mismo equipo de investigadores incluyen el ataque eFail revelado en mayo de 2018 que afectó a más de una docena de clientes populares de correo electrónico cifrado con PGP .

Para obtener más detalles técnicos de los ataques PDFex, puede dirigirse a este sitio web dedicado publicado por los investigadores y al documento de investigación [ PDF ] titulado, «Exfiltración práctica de descifrado: Rompiendo cifrado de PDF».

Fuente: thehackernews.com

Compartir