Mới đây, các nhà nghiên cứu vừa phát hiện một nhóm kỹ thuật tấn công mới, có thể cho phép kẻ tấn công tiếp cận toàn bộ nội dung file PDF đã được đặt mật khẩu bảo vệ hoặc mã hóa.
Nhóm kỹ thuật tấn công mới được đặt tên là PDFex, gồm hai hình thức tấn công lợi dụng yếu điểm an ninh trong cơ chế bảo vệ mã hóa tiêu chuẩn trong PDF.
Các cuộc tấn công PDFex không cho phép kẻ tấn công biết hoặc xóa mật khẩu của file PDF được mã hóa; thay vào đó, tạo điều kiện để kẻ tấn công từ xa trích xuất nội dung file mỗi khi người dùng hợp pháp mở tài liệu đó.
Nói cách khác, PDFex cho phép kẻ tấn công sửa đổi tài liệu PDF được bảo vệ mà không cần mật khẩu, như khi người dùng nhập đúng mật khẩu để mở file. Tệp tin sẽ tự động gửi một bản sao nội dung đã được giải mã đến máy chủ do kẻ tấn công từ xa điều khiển trên Internet.
Các nhà nghiên cứu đã thử nghiệm các cuộc tấn công PDFex vào 27 trình xem PDF phổ biến, cả trên máy tính để bàn và trình duyệt. Kết quả là tất cả đều có khả năng bị tấn công, bởi 1 hoặc cả 2 hình thức, mà phần lớn là cả 2.
Những trình xem PDF bị ảnh hưởng là những phần mềm dùng cho Windows, macOS và Linux như: Adobe Acrobat, Foxit Reader, Okular, Evince, Nitro Reader… Các trình xem PDF được tích hợp trong trình duyệt web cũng bị ảnh hưởng như: Chrome, Firefox, Safari, Opera
Các cuộc tấn công PDFex khai thác hai lỗ hổng PDF
PDFex, do nhóm nghiên cứu người Đức phát hiện, lợi dụng 2 yếu điểm nghiêm trọng trong mã hóa PDF, bao gồm:
1) Mã hóa từng phần – PDF tiêu chuẩn hỗ trợ mã hóa từng phần, chỉ mã hóa các chuỗi và luồng, không mã hóa các đối tượng xác định cấu trúc của tài liệu PDF.
Do đó, việc hỗ trợ trộn các ciphertext (bản mã) với các plaintext (bản rõ) sẽ tạo cơ hội cho kẻ tấn công dễ dàng thao tác cấu trúc tài liệu và chèn đoạn mã vào tài liệu.
2) Khả năng dễ mã hóa – Mã hóa PDF sử dụng chế độ Chuỗi khối mã hóa (CBC) không có thao tác kiểm tra tính toàn vẹn, có thể bị kẻ tấn công khai thác để tạo các bộ mã hóa tự trích xuất dữ liệu.
2 hình thức tấn công PDFex
Loại 1 – Trích xuất dữ liệu trực tiếp: bằng cách lợi dụng tính năng mã hóa từng phần của tệp PDF đã được bảo vệ.
Để không ảnh hưởng đến nội dung file, kẻ tấn công có thể thêm các đối tượng không được mã hóa vào tệp PDF mục tiêu đã được mã hóa. Thao tác này cũng giúp xác định được hành động độc hại đã được thực hiện khi người dùng hợp pháp mở file.
Những hành động giúp xác định cách thức kẻ tấn công từ xa trích xuất nội dung:
• Gửi mẫu
• Gọi URL
• Thực thi JavaScript
Các hành động này có thể được kích hoạt tự động khi người dùng mở file PDF, ví dụ như click vào văn bản.
Trong hình, đối tượng chứa URL (màu xanh lam) để gửi biểu mẫu không được mã hóa và hoàn toàn bị kẻ tấn công kiểm soát.
Loại 2: Các tiện ích CBC – Không phải tất cả trình xem PDF đều hỗ trợ các tài liệu mã hóa từng phần. Tuy nhiên, các trình xem cũng không có cơ chế bảo vệ tính toàn vẹn của file, tạo điều kiện cho kẻ tấn công sửa đổi dữ liệu bản rõ trực tiếp trong một đối tượng được mã hóa.Kịch bản của các cuộc tấn công dựa trên các tiện ích CBC gần giống như các cuộc tấn công Trích xuất dữ liệu trực tiếp. Chỉ khác là kẻ tấn công sửa đổi nội dung đã được mã hóa hoặc tạo nội dung mới từ các tiện ích CBC để thêm các hành động giúp xác định cách thức trích xuất dữ liệu.
Hiện, mã khai thác PoC cho các cuộc tấn công PDFex đã được công khai trên mạng nhưng bản vá vẫn chưa được phát hành.
Các cuộc tấn công PDFex khai thác hai lỗ hổng PDF
Kịch bản của các cuộc tấn công dựa trên các tiện ích CBC gần giống như các cuộc tấn công Trích xuất dữ liệu trực tiếp. Chỉ khác là kẻ tấn công sửa đổi nội dung đã được mã hóa hoặc tạo nội dung mới từ các tiện ích CBC để thêm các hành động giúp xác định cách thức trích xuất dữ liệu.
