Campagna PDFex – esfiltrazione dati da file PDF cifrati

01/10/2019

cbc crittografia CVE-2019-5031 pdf Vulnerabilità

Un team di ricercatori della Ruhr-University Bochum e Münster University ha scoperto una vulnerabilità presente nei PDF cifrati, legata all’esecuzione di codice in modalità remota nel suo motore JavaScript.

L’attacco denominato PDFex, associato alla vulnerabilità con CVE-2019-5031 interessa molti software che utilizzano il formato pdf come di seguito indicato:

Le principali problematiche riscontrate riguardano:

  • La possibilità di modificare il file PDF anche senza conoscerne la password.
  • L’algoritmo crittografico Cipher Block Chaining (CBC) senza controlli di integrità, il che implica malleabilità del testo cifrato.

Più precisamente, la specifica PDF consente di mescolare i dati cifrati con quelli in chiaro. In combinazione con ulteriori funzionalità PDF che consentono il caricamento di risorse esterne tramite HTTP, l’attaccante può eseguire attacchi di esfiltrazione diretta una volta che una vittima apre il file malevolo.

Questo consente di creare parti di testo cifrato auto-esfiltranti utilizzando gadget che modificano CBC.

L’attacco si presenta in due varianti:

  • Exfiltration
    • Questa tecnica sfrutta il fatto che le app PDF non crittografano l’intero file PDF, lasciando alcune parti non crittografate. Pertanto, un utente malintenzionato può modificare il campo non crittografato, aggiungere parti non crittografate. Questo può essere fatto tramite moduli PDF, collegamenti ipertestuali o codici Javascript.
  • Gadget CBC
    • Mediante questa tecnica, i potenziali aggressori utilizzano i gadget CBC (Cipher Block Chaining) per esfiltrare il testo in chiaro poiché possono modificare i dati in chiaro direttamente all’interno di un oggetto crittografato, ad esempio prefissandoli con un URL.

I produttori stanno rilasciando appositi bollettini di sicurezza in merito, come ad esempio FoxIT Software

Per i approfondimenti tecnici si consiglia di consultare l’apposito paper prodotto dai ricercatori.