Muchos usuarios optan por cifrar sus archivos para evitar que puedan ser leídos por intrusos. Es algo especialmente común en archivos PDF y similares. Sin embargo hoy nos hacemos eco de una noticia que informa sobre un nuevo ataque que pone en riesgo la seguridad de estos archivos. Concretamente hace que un archivo PDF cifrado por un usuario deje de estarlo. Este método de ataque lo han denominado PDFex. Explicamos los detalles sobre cómo actúa.
PDFex, el método de ataque que rompe el cifrado de archivos PDF
El objetivo de este método de ataque denominado PDFex es extraer el contenido de los archivos PDF cifrados en un texto plano. Hay que tener en cuenta que este tipo de archivos están cifrados para intercambiar y almacenar información confidencial sin ningún mecanismo adicional. El cifrado simplemente es una contraseña que es compatible con el algoritmo de cifrado AES de 256 bits. Os recomendamos visitar nuestro tutorial sobre protocolos transferencia de archivos.
Un grupo de investigadores ha analizado la seguridad de estos archivos PDF cifrados con contraseña. Han desarrollado métodos de ataque que logran explotar las limitaciones de seguridad con cifrado. Uno de estos ataques se basa en obtener acceso a ese PDF cifrado. Ese archivo tiene información en texto plano y también cifrada. Lo que hace el atacante es lanzar sus ataques una vez el usuario ha abierto ese archivo y de esta forma extraer datos.
Respecto al ataque PDFex lo que hace un posible intruso es modificar los archivos cifrados cambiando la estructura del documento o agregando nuevos objetos que no están cifrados. De esta forma envían los archivos modificados a la víctima. Para ello, como podemos imaginar, el atacante tiene que tener acceso a ese PDF cifrado.
El ataque tendría éxito si los piratas informáticos lograran extraer por completo los datos como texto plano o parte de los datos del PDF.
Hay que tener en cuenta que a través del ataque PDFex el atacante no va a conocer la contraseña de acceso a ese PDF. Únicamente lo que puede lograr es tener acceso al mismo y poder leer el contenido sin necesidad de introducir la clave.
Para llevar a cabo este tipo de ataque van a tener que generar un formulario que envían a la víctima junto a una URL. Una vez esto se ejecuta un código JavaScript. Los atacantes envían el documento al usuario y esa solicitud de HTTP lleva a la fuga de datos que filtra el texto sin formato de ese archivo PDF y lo envía al servidor controlado por el atacante.
La mayoría de herramientas PDF son vulnerables
Hay que tener en cuenta que no todas las herramientas para leer archivos PDF están afectadas, pero sí una inmensa mayoría. Concretamente, según el estudio de este grupo de investigadores, 21 de las 22 aplicaciones de escritorio que han analizado son vulnerables.
También han analizado servicios online para leer PDF. En este caso han analizado un total de 7, de las cuales 5 son vulnerables.
En definitiva, podemos decir que la gran mayoría de las aplicaciones para leer PDF que han analizado son vulnerables a este tipo de ataque denominado PDFex. Podemos leer el informe completo en la página de los investigadores.