Mencari cara untuk membuka kunci dan membaca konten PDF terenkripsi tanpa mengetahui kata sandi?
Nah, itu sekarang mungkin, semacam serangkaian teknik serangan baru yang dapat memungkinkan penyerang mengakses seluruh konten file PDF yang dilindungi sandi atau terenkripsi, tetapi dalam beberapa keadaan tertentu.
Dijuluki PDFex , serangkaian teknik baru termasuk dua kelas serangan yang memanfaatkan kelemahan keamanan dalam perlindungan enkripsi standar yang dibangun ke dalam Portable Document Format, lebih dikenal sebagai PDF.
Untuk dicatat, serangan PDFex tidak memungkinkan penyerang mengetahui atau menghapus kata sandi untuk PDF terenkripsi; alih-alih, aktifkan penyerang untuk mengekstrak konten dari jarak jauh begitu pengguna yang sah membuka dokumen itu.
Dengan kata lain, PDFex memungkinkan penyerang untuk memodifikasi dokumen PDF yang dilindungi, tanpa memiliki kata sandi yang sesuai, dengan cara yang ketika dibuka oleh seseorang dengan kata sandi yang tepat, file tersebut akan secara otomatis mengirimkan salinan konten yang didekripsi ke penyerang jarak jauh- server terkontrol di Internet.
Para peneliti menguji serangan PDFex terhadap 27 viewer PDF yang banyak digunakan, baik untuk berbasis desktop maupun browser, dan menemukan mereka semua rentan terhadap setidaknya satu dari dua serangan, meskipun mayoritas ditemukan rentan terhadap kedua serangan tersebut.
Viewer PDF yang terpengaruh mencakup perangkat lunak populer untuk Windows, macOS dan sistem operasi desktop Linux seperti: Adobe Acrobat, Foxit Reader, Okular, Evince, Nitro Reader. Serta penampil PDF yang disertakan di dalam peramban web: Chrome, Firefox, Safari, Opera.
Serangan PDFex Mengeksploitasi Dua Kerentanan PDF
Ditemukan oleh tim peneliti keamanan Jerman, PDFex bekerja karena dua kelemahan utama dalam enkripsi PDF, seperti dijelaskan di bawah ini:
1) Partial Encryption - Spesifikasi standar PDF dengan desain mendukung enkripsi parsial yang hanya memungkinkan string dan stream untuk dienkripsi, sementara objek yang mendefinisikan struktur dokumen PDF tetap tidak terenkripsi.
Dengan demikian, dukungan untuk pencampuran ciphertext dengan plaintext meninggalkan peluang bagi penyerang untuk dengan mudah memanipulasi struktur dokumen dan menyuntikkan muatan berbahaya ke dalamnya.
2.) Ciphertext Malleability - Enkripsi PDF menggunakan mode enkripsi Cipher Block Chaining (CBC) tanpa pemeriksaan integritas, yang dapat dieksploitasi oleh penyerang untuk membuat bagian ciphertext self-exfiltrating ciphertext.
Kelas Serangan PDFex: Pengeluaran Langsung dan Gadget CBC
Sekarang, mari kita secara singkat memahami dua kelas serangan PDFex.
Kelas 1: Eksfiltrasi Langsung - Menyalahgunakan fitur enkripsi sebagian dari file PDF yang dilindungi.
Sementara membiarkan konten yang akan diekstrak tidak tersentuh, penyerang dapat menambahkan objek tidak terenkripsi tambahan dalam PDF terenkripsi yang ditargetkan, yang dapat digunakan untuk menentukan tindakan jahat yang harus dilakukan ketika berhasil dibuka oleh pengguna yang sah.
Tindakan-tindakan ini, seperti yang tercantum di bawah ini, menentukan cara penyerang jarak jauh dapat memeras konten: Mengirimkan formulir, Meminta URL, Menjalankan JavaScript.
"Tindakan merujuk bagian terenkripsi sebagai konten untuk dimasukkan dalam permintaan dan dengan demikian dapat digunakan untuk mengekstrak teks plainteks mereka ke URL yang sewenang-wenang," tulis surat kabar itu.
"Eksekusi Tindakan dapat dipicu secara otomatis setelah file PDF dibuka (setelah dekripsi) atau melalui interaksi pengguna, misalnya, dengan mengklik di dalam dokumen."
Misalnya, seperti yang ditunjukkan pada gambar, objek yang berisi URL (dalam warna biru) untuk pengiriman formulir tidak dienkripsi dan sepenuhnya dikendalikan oleh penyerang.
Kelas 2: Gadget CBC - Tidak semua pemirsa PDF mendukung dokumen yang dienkripsi sebagian, tetapi banyak dari mereka juga tidak memiliki perlindungan integritas file, yang memungkinkan penyerang mengubah data plaintext secara langsung dalam objek terenkripsi.
Skenario serangan serangan berbasis gadget CBC hampir sama dengan serangan Pengelupasan Langsung dengan satu-satunya perbedaan bahwa di sini penyerang memodifikasi konten terenkripsi yang ada atau membuat konten baru dari gadget CBC untuk menambahkan tindakan yang menentukan cara mengekstrak data.
Selain itu, jika PDF berisi stream terkompresi untuk mengurangi ukuran file, penyerang perlu menggunakan stream objek setengah terbuka untuk mencuri data.
Eksploitasi PoC Dirilis untuk Serangan PDFex
Tim peneliti, yang meliputi enam akademisi Jerman dari Ruhr-University Bochum dan Münster University, telah melaporkan temuan mereka kepada semua vendor yang terkena dampak dan juga merilis eksploit bukti konsep untuk serangan PDFex kepada publik.
Beberapa penelitian sebelumnya oleh tim peneliti yang sama termasuk serangan eFail terungkap pada Mei 2018 yang memengaruhi lebih dari selusin klien email terenkripsi PGP yang populer .
Untuk perincian lebih teknis dari serangan PDFex, Anda dapat mengunjungi situs web khusus ini yang dirilis oleh para peneliti dan makalah penelitian [ PDF ] berjudul, "Eksfiltrasi Dekripsi Praktis: Memecah Enkripsi PDF."
Sumber Artikel : TheHackerNews
