Cualquier implementación, por más protegida que esté, puede estar expuesta a nuevos ataques de hacking. Expertos en hacking ético han encontrado una forma de extraer información contenida en archivos Portable Document Format (PDF) cifrados o protegidos con una contraseña.
El grupo de investigadores de la Universidad Ruhr-Bochum, en Alemania, publicó una investigación titulada “Rompiendo el cifrado en PDF”, donde revelan dos variantes de un nuevo ataque que expone la información supuestamente protegida en más de 20 lectores PDF ampliamente usados, como Adobe Acrobat Reader y las herramientas incluidas en los navegadores Chrome y Firefox.
Este nuevo ataque, bautizado como PDFex, explota algunas carencias de seguridad en el estándar de cifrado integrado en este formato. Acorde a los especialistas en hacking ético, este método no consiste en romper la contraseña de un documento, sino que aprovecha una función conocida como “cifrado parcial” nativa de la especificación PDF para extraer el contenido después de que los usuarios interactúan con el documento.
Los atacantes ni siquiera requieren obtener la contraseña de un documento, mencionan los expertos. “El formato PDF permite mezclar texto cifrado con texto simple, lo que permite cargar en un archivo recursos externos a través de PDF para que el atacante pueda extraer la información cuando el objetivo abre el archivo”, añaden los expertos.
En palabras más simples, un hacker puede alterar un PDF protegido o cifrado para que, al ser abierto, una copia sin cifrar del archivo sea enviada a un servidor remoto usando códigos JavaScript maliciosos o formularios URL y PDF.
Respecto a la segunda variante del ataque PDFex, los atacantes utilizan el modo Cipher Block Chaining (CBC) para tomar un fragmento de texto cifrado en un nuevo texto cifrado, característica conocida como maleabilidad.
El modo CBC usa un mecanismo especial para cifrar datos, por lo que el cifrado en cada bloque de texto depende del bloque anterior. “Sólo se requiere conocer un segmento de texto sin formato para manipular un archivo cifrado”, mencionaron los expertos en hacking ético.
La mayoría de los lectores PDF analizados por los investigadores están expuestos a las dos variantes del ataque, incluyendo Adobe Reader, Foxit Reader, PDF Studio Viewer y Nitro Reader. En los casos más severos, los lectores PDF son vulnerables a ambas variantes de ataque sin necesidad de interacción del usuario.
Los investigadores reportaron sus hallazgos en tiempo y forma a las compañías afectadas, además lanzaron públicamente una prueba de concepto del exploit para el ataque PDFex.
La principal causa de estos ataques es que múltiples formatos (como XML, S y PDF) permiten cifrar sólo algunas partes de su contenido. Debido a esta “adaptabilidad”, los actores de amenazas pueden inyectar su propio contenido, lo que puede generar las condiciones propicias para un ataque como el que se describe en esta investigación.
Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que el uso de PDF con fines maliciosos muestra un crecimiento considerable. Una de las técnicas de ataque principales es el envío de archivos PDF maliciosos adjuntos en correos electrónicos. En la prevención de esta variante de ataque, los especialistas recomiendan dejar de usar soporte PDF parcialmente cifrado, así como adecuarse a una política de seguridad en la que los objetos no cifrados no puedan acceder a contenido cifrado.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad