ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Исследователи из двух немецких университетов смогли прочитать зашифрованные PDF-документы. Эксперты предложили два способа атаки под общим названием PDFex: оба позволяют взламывать файлы через 27 программ, включая Adobe Acrobat, Foxit Reader, средства просмотра PDF в Chrome и Firefox.

Столь широкий набор ПО объясняется тем, что уязвимость содержится в механизмах, встроенных в сам стандарт PDF. Его создатели предусмотрели в коде функцию нативного шифрования, благодаря которой документы можно открывать в любых программах, не переживая за совместимость криптографических алгоритмов. Как выяснили эксперты, эта опция оставляет незашифрованными некоторые данные PDF-файла, позволяя с их помощью получить все содержимое целевого документа.

Атака PDFex методом прямого извлечения

Первый сценарий использует упомянутые незашифрованные участки данных — созданный на их основе PDF-документ при открытии отправит злоумышленнику всю информацию.

Для этого взломщики могут добавить в незащищенные данные активный элемент: PDF-форму, интернет-ссылку или JavaScript-сценарий. Эти компоненты автоматически запустятся, когда владелец документа откроет и расшифрует сайт. При использовании формы это все, что требуется от жертвы.

Вариант с вредоносной ссылкой менее надежен для злоумышленника, поскольку требует запуска стороннего браузера, а это может вызвать у жертвы подозрения. Последний тип атаки и вовсе можно заблокировать собственными средствами PDF-программы, многие из которых запрещают фоновое выполнение JavaScript.

Атака PDFex через блоки шифротекста

Вторая вариация PDFex, напротив, направлена на зашифрованную часть файла. Для взлома документа специалисты используют участки кода, которые обрабатывают научились взламывать беспроводные сети на основе протокола WPA3. Этот стандарт WiFi-подключений считается наиболее безопасным на сегодняшний день и был утвержден в 2018 году.