محققان راه جدیدی را برای خواندن محتوای فایل‌های PDF محافظت شده و رمز دار پیدا کرده‌اند

دسته بندی ها : اخبار ۱۴ مهر ۱۳۹۸ فایزه اشرفیان اشرفیان 466 بازدید

آیا به دنبال راهی برای باز کردن قفل و خواندن محتوای یک PDF رمزگذاری شده بدون دانستن رمز عبور هستید؟

خوب، اکنون این امکان فراهم شده است، به لطف مجموعه جدیدی از تکنیک های حمله که به مهاجمان اجازه می‌دهد تحت شرایط خاصی به کل محتوای یک فایل PDF رمزگذاری شده یا محافظت شده با رمز عبور، دسترسی داشته باشند.

مجموعه جدید این تکنیک ها که PDFex نامیده می‎‌شود، شامل دو دسته از حملات است که از نقاط ضعف امنیتی در سیستم رمزگذاری استاندارد فایل سند قابل حمل (Portable Document File) که بیشتر به نام PDF شناخته می شود، استفاده می‌کند.

لازم به ذکر است، حملات PDFex به مهاجم اجازه نمی‌دهد رمز عبور یک PDF رمزگذاری شده را بداند یا آن را حذف کند. درعوض، مهاجمان را قادر می‌سازد تا محتوای سندی را به محض اینکه یک کاربر آن را باز کرد، استخراج کنند.

به عبارت دیگر، PDFex به مهاجمان اجازه می دهد بدون داشتن پسورد مربوطه، یک سند PDF محافظت شده را تغییر دهند، به گونه ای که وقتی سند توسط شخصی که رمز عبور دارد باز می‎شود، فایل به طور خودکار نسخه ای از محتوای رمزگشایی شده را به یک مهاجم از راه دور، ارسال می کند.

محققان حملات PDFex خود را بر علیه  ۲۷ نرم‌افزاری که به طور گسترده از PDF استفاده می‌کردند، هم در دسکتاپ و هم در مرورگر آزمایش کردند و دریافتند که همه آنها را در برابر حداقل یکی از دو حمله آسیب پذیر هستند، گرچه اکثر آن‌ها در برابر هر دو حمله آسیب پذیر بودند.

کاربران PDF تحت تأثیر قرار یافته شامل نرم افزارهای رایج برای سیستم عامل‌های  Windows، macOS و Linux می‌شوند. مانند:

  • Adobe Acrobat
  • Foxit Reader
  • Okular
  • Evince
  • Nitro Reader

و همچنین PDF Viewer هایی که در مرورگرهای وب قرار دارند:

  • Chrome
  • Firefox
  • Safari
  • Opera

حملات PDFex از دو آسیب پذیری PDF استفاده می کنند

توسط تیمی از محققان امنیتی آلمانی کشف شده است که  PDFex به دلیل دو ضعف اصلی در رمزگذاری PDF، که در زیر شرح داده شده است ، کار می کند:

۱) رمزگذاری جزئی- مشخصات استاندارد PDF با طراحی از رمزگذاری جزئی پشتیبانی می‌کند که فقط به رشته ها و استریم ها اجازه می‌دهد تا رمزگذاری شوند، در حالی که آبجکت هایی که ساختار PDF را تعریف می‌کنند، رمزگذاری نمی‌شوند.

بنابراین، ترکیب متن ساده با رمزگذاری شده فرصتی برای مهاجمان فراهم می کند تا بتوانند به راحتی ساختار اسناد را دستکاری کرده و یک پیلود مخرب تزریق کنند.

۲.) قابلیت انعطاف پذیری متن رمزگذاری شده -PDF های رمز گذاری شده از حالت رمزگذاری Cipher Block Chaining (CBC) بدون بررسی یکپارچگی، از آن استفاده می کنند، که می تواند توسط مهاجمان مورد سو استفاده قرار گیرد تا قطعات رمزگذاری شده ی ایجاد کنند که نیاز به قطعات دیگر، برای تولید شدن، نداشته باشند.

حملات PDFex: استخراج مستقیم و گجتهای CBC

کلاس ۱: Exfiltration مستقیم – از ویژگی رمزگذاری جزئی یک فایل PDF محافظت شده سوء استفاده می کند.

در این روش، در حالی که محتوا دست نخورده exfiltrate یا استخراج می‌شود، یک مهاجم می تواند آبجکت‌های رمزگذاری نشده دیگری را در PDF رمزگذاری شده اضافه کند، مانند تعریف یک عمل مخرب. که هنگام بازکردن فایل اجرا شود.

این اقدامات، همانطور که در زیر ذکر شده است، نشانگر راه‌هایی است که یک مهاجم از راه دور می تواند محتوا را exfiltrate کند:

  • ارسال فرم
  • فرخوانی URL
  • اجرای JavaScript

در این مقاله آمده است: “این عمل، قسمت‌های رمزگذاری شده را به عنوان محتوا درنظر میگیرد که در درخواست ها گنجانده شوند، بنابراین میتوان متن رمزگذاری نشده ی آنها را در قالب یک URL دلخواه استخراج کرد.

“اجرای این عمل می‌تواند به محض باز کردن پرونده PDF (پس از رمزگشایی) یا از طریق تعامل کاربر، به عنوان مثال با کلیک کردن در داخل سند، به صورت خودکار انجام شود.”

به عنوان مثال، همانطور که در تصویر نشان داده شده است، آبجکت حاوی URL (به رنگ آبی) برای ارسال فرم رمزنگاری نشده به کار می‌رود و توسط مهاجم کاملاً کنترل می شود.

کلاس ۲: گجت‌های CBC – همه نرم افزارهای PDF از اسناد رمزگذاری شده جزئی پشتیبانی نمی کنند، اما بسیاری از آنها از حفاظت یکپارچگی پرونده نیز برخوردار نیستند، که به مهاجمان امکان می دهد داده های ساده را مستقیماً درون یک آبجکت رمزگذاری شده تعبیه کنند.

سناریوی حمله ی حملات مبتنی بر گجت‌های CBC تقریباً مشابه حملات Exfiltration مستقیم، با تنها یک تفاوت می‌باشد. در اینجا مهاجم محتوای رمزگذاری شده موجود را تغییر می دهد و یا محتوای جدیدی را از گجت‌های CBC، برای افزودن اقداماتی که نحوه استخراج داده را نشان می‌دهند، ایجاد می کند.

علاوه بر این، اگر محتوای PDF برای کاهش سایز فایل، فشرده شده باشد، مهاجمان برای سرقت داده ها باید از object streams نیمه باز استفاده کنند.

اکسپلویت PoC برای حملات PDFex منتشر شد

تیمی از محققان، که شامل شش محقق آلمانی از دانشگاه Ruhr بوخوم و Münster است، یافته های خود را به کلیه فروشندگان تحت تأثیر گزارش داده و همچنین PoC این اکسپلویت برای حملات PDFex را عمومی کردند.

برای کسب اطلاعات بیشتر در مورد حملات PDFex، می‌توانید به این وب سایت اختصاصی که توسط محققان منتشر شده و مقاله پژوهشی [PDF] با عنوان” Practical Decryption exFiltration: Breaking PDF Encryption” مراجعه کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!