Une équipe d'universitaires allemands a développé une nouvelle méthode d'attaque capable d'extraire et de voler des données à partir de fichiers PDF cryptés.
La nouvelle attaque, appelée PDFex, existe en deux versions. Il a pu voler des données PDF à partir de 27 lecteurs PDF de bureau et Web, dont Adobe Acrobat, Foxit Reader, Nitro et des lecteurs PDF intégrés pour Chrome et Firefox.
PDFex ne cible pas réellement le cryptage utilisé dans les documents PDF par un logiciel externe. Au lieu de cela, l'attaque cible les schémas de cryptage utilisés par Portable Document Format (PDF), ce qui signifie que tous les fichiers PDF sont vulnérables, quel que soit le logiciel utilisé pour les afficher.
Alors que la norme PDF prend en charge le cryptage natif, une équipe de six universitaires de l'Université de la Ruhr et de l'Université de Münster en Allemagne a découvert des problèmes liés à la prise en charge du cryptage par la norme et les a utilisées pour créer PDFex.
Variantes PDFex
Selon un article de blog publié par les chercheurs, les documents PDF cryptés sont vulnérables à deux types d'attaques connus par la méthode utilisée pour mener l'attaque et pour filtrer les données.
Le premier, appelé «exfiltration directe», utilise le fait que le logiciel PDF ne crypte pas un fichier PDF entier et laisse certaines parties non cryptées. En falsifiant ces champs non chiffrés, un attaquant peut créer un fichier PDF piégé qui tentera de renvoyer le contenu du fichier à un attaquant pendant le déchiffrement et l'ouverture.
La deuxième variante de l'attaque PDFex cible les parties d'un fichier PDF crypté. À l'aide de gadgets CBC, un attaquant peut modifier des données en texte brut stockées dans un fichier PDF dans la source. Cela signifie qu'un attaquant peut utiliser un périphérique CBC pour modifier le contenu chiffré afin de créer des fichiers PDF piégés qui envoient leur propre contenu à des serveurs distants à l'aide de formulaires PDF ou d'URL.
Toutes les variantes de PDFex nécessitent une attaque afin de modifier les fichiers PDF cryptés de l'utilisateur. Cependant, pour ce faire, ils doivent intercepter le trafic réseau d'une victime ou avoir un accès physique à leurs appareils ou stockage.
Dans l'ensemble, PDFex est une vulnérabilité importante dans la norme PDF et l'équipe de recherche responsable de la nouvelle attaque présentera ses résultats lors de la conférence ACM sur la sécurité informatique et les communications le mois prochain.
Via ZDNet