I ricercatori della Ruhr-University Bochum e della Münster University scoprono un nuovo tipo di attacco del cybercrime: PDEex, teso a rubare i dati dai PDF cifrati grazie a una vulnerabilità legata all’esecuzione di codice in modalità remota nel motore JavaScript

Si chiama PDFex ed è un nuovo tipo di attacco che il cybercrime per rubare i dati criptati alle vittime. Lo ha scoperto un team di ricercatori di cyber security della Ruhr-University Bochum e della Münster University. I criminali cibernetici sfruttano una vulnerabilità presente nei PDF cifrati, legata all’esecuzione di codice in modalità remota nel suo motore JavaScript. Gli esperti del CERT-PA avvisano che le principali problematiche della falla riguardano la possibilità di modificare il file PDF anche senza conoscerne la password. Inoltre, l’algoritmo crittografico Cipher Block Chaining (CBC), essendo senza controlli di integrità, implica malleabilità del testo cifrato. Più precisamente, la specifica PDF consente di mescolare i dati cifrati con quelli in chiaro. In combinazione con ulteriori funzionalità PDF che consentono il caricamento di risorse esterne tramite HTTP, l’attaccante può eseguire attacchi di esfiltrazione diretta una volta che una vittima apra il file malevolo. 

Gli esperti di cyber security del CERT-PA: Le varianti degli attacchi sono di tipo “Exfiltration” o “Gadget CBC”

Secondo gli esperti di cyber security, l’attacco del cybercrime si presenta in due varianti: Exfiltration e Gadget CBC. La prima sfrutta il fatto che le app PDF non crittografano l’intero file PDF, lasciando alcune parti in chiaro. Pertanto, un utente malintenzionato può modificare il campo non crittografato, aggiungendo parti. Questo può essere fatto tramite moduli PDF, collegamenti ipertestuali o codici Javascript. Con la seconda, invece, gli aggressori utilizzano i gadget CBC (Cipher Block Chaining) per esfiltrare il testo in chiaro. Ciò in quanto possono modificare i dati in chiaro direttamente all’interno di un oggetto crittografato, ad esempio prefissandoli con un URL. I I produttori di software che utilizzano il formato PDF stanno rilasciando appositi bollettini di sicurezza in merito. Si consiglia, comunque, di mantenere massima attenzione.

Photo Credits: Ruhr-University Bochum and Münster University