U3F1ZWV6ZTE1Njg4NDY3OTQ0X0FjdGl2YXRpb24xNzc3Mjg2OTg2NDQ=

PDFex - طريقة قرصنة جديدة لكسر ملفات PDF المشفرة واستخراج البيانات

PDFex - طريقة قرصنة جديدة لكسر ملفات PDF المشفرة واستخراج البيانات

طريقة هجوم جديدة يطلق عليها PDFex تستخرج محتويات ملفات PDF المشفرة بنص عادي. جميع احتياجات المهاجمين هي الحصول على كتلة واحدة من النص العادي المعروف أو يحتاج المستخدم الشرعي إلى فتح المستند المشفر.
يتم تشفير ملفات PDF لتبادل وتخزين المعلومات الحساسة دون أي آليات إضافية. مفتاح التشفير هنا هو كلمة مرور PDF ، ويدعم الإصدار الأخير من PDF لخوارزمية تشفير AES 256 بت.

يستخدم تشفير PDF في العديد من القطاعات العامة والخاصة لحماية المعلومات الحساسة ، ويركز هذا الهجوم الجديد على نقاط الضعف في مواصفات PDF.

حلل الباحثون 27 من مشاهدي ملفات PDF الشعبية ، من بين 23 من المعرضين للتعرض المباشر وكلهم عرضة لأدوات CBC

هجمات جديدة على تشفير PDF
طور الباحثون طريقتين محتملتين للهجوم ، مستغلين قيود الأمان مع تشفير PDF استنادًا إلى سيناريوهات المهاجم النشط.

تتضمن الطريقة الأولى إساءة استخدام ميزة PDF ، يجب على المهاجم الوصول إلى ملف PDF المشفر. يحتوي ملف PDF المشفر كل من النصوص المشفرة والنصوص التي تسمح للمهاجمين بشن هجمات exfiltration مباشرة بمجرد أن يفتح الضحية الملف.

الطريقة الثانية القائمة على تشفير كتلة التشفير (CBC) ، تستخدم تشفير PDF CBC مع عدم التحقق من التكامل ، وهذا يسمح لنا بإنشاء أجزاء نص تشفير ذاتية الاختبار باستخدام أدوات CBC malleability وتعديل النص العادى الحالي أو لإنشاء نص عادي جديد.

PDFex المهاجم السيناريوهات
من المفترض أن يكون لدى المهاجمين حق الوصول إلى مستند PDF بالفعل ، لكنهم لا يعرفون كلمة المرور أو مفاتيح فك التشفير.

ما يمكن للمهاجم القيام به هو تعديل الملفات المشفرة عن طريق تغيير بنية المستند أو إضافة كائنات جديدة غير مشفرة ويرسلون الملفات المعدلة إلى الضحية. صنف الباحثون الهجوم في سيناريوهين.

بدون تدخل المستخدم - فى هذه الحالة ، كل ما يحتاجه المهاجم هو مجرد فتح ملف PDF المعدل وعرض وثيقة PDF.

مع تفاعل المستخدم - فى سيناريو الهجوم هذا ، يحتاج الضحية إلى التفاعل مع مستند PDF (مجرد نقرة بالماوس).

الهجوم ناجح إذا قاموا باستخراج البيانات الكاملة كنص عادي من PDF مشفر أو أجزاء من البيانات من ملف PDF المشفر.

ملاحظة أن هجوم PDFex لن يسمح للمهاجم بإزالة كلمة المرور أو معرفتها ، بل يسمح للمهاجمين بقراءة البيانات من الملف المشفر.
عادي ، مشفر ومهاجم تعديل مشفر قوات الدفاع الشعبي

تسرب البيانات

يصف هذا القسم كيفية اختبار البيانات باستخدام طريقة Exfiltration Direct و CBC Gadgets.

التسريب المباشر (الهجوم أ)

باستخدام هو نوع الهجوم ، يهاجم المهاجم المرونة في تشفير PDF الذي يسمح بنصوص مشفرة ونص عادي. يمكن للمهاجم تعديل بنية PDF لإضافة عناصر غير مشفرة يتم التحكم فيها بواسطة المهاجم.
وثيقة معدلة مع بيانات إضافية
يمكن أن يكون هذا الإجراء بثلاث طرق ممكنة
  1. تقديم نموذج
  2. استدعاء عنوان URL
  3. تنفيذ جافا سكريبت
ترسل هذه الوثيقة في وقت لاحق من قبل المهاجمين إلى الضحية وسرب تسرب البيانات HTTP طلب البيانات الكاملة في النص العادي تلقائيا إلى خادم المهاجم بمجرد فتح الضحية الملف.

أدوات CBC (الهجوم B)

"لا يحدد تشفير PDF عمومًا أي تشفير مصادق عليه ، فقد يستخدم المهاجمون أدوات CBC للتعبير عن النص العادي. الفكرة الأساسية هي تعديل بيانات النص العادي مباشرة داخل كائن مشفر "، تقرأ الورقة.
هجوم CBC
اثنين من إطلاق الهجوم ، يحتاج المهاجم إلى تلبية شرطين مسبقين.
تعرف على النص العادي : للتعامل مع المشفر ، يجب أن يعرف المهاجم أن أجزاء النص غير ضرورية.
قناة Exfiltration : يجب أن يكون لدى المهاجم قناة Exfiltration .

إصدارات PDF تتأثر

من المهم الإشارة إلى أنه في كلا الهجومين ، يتحكم المهاجم بشكل كامل في مظهر المستند المعروض.
المنتجات المتأثرة
وفقًا للباحثين ، فإن 21 من أصل 22 تطبيقًا لمشاهد PDF على سطح المكتب و 5 من 7 من خدمات التحقق من صحة PDF عبر الإنترنت تكون عرضة لواحدة من هجماتنا على الأقل.
"لقد أبلغنا عن هجماتنا إلى البائعين المتضررين واقترحنا إجراء عمليات تخفيف مناسبة. ومع ذلك ، للقضاء المستدام على السبب الجذري لنقاط الضعف ، يلزم إجراء تغييرات في معيار PDF ، "تقرأ الورقة.

ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

اذا اعجبك الموضوع علق بتعليق If you like the subject, comment on the comment