دو روش حمله‌ی جدید برای ایجاد تغییر در PDF‌های معتبر

دو روش حمله‌ی جدید برای ایجاد تغییر در PDF‌های معتبر
تاریخ انتشار : ۱۸ خرداد ۱۴۰۰

رفع یا کشف نقاط ضعف امنیتی قبل از این که مجرمان اینترنتی از آن سوءاستفاده کنند، مطمئنا به امنیت داده‌ها کمک بزرگی می‌کند.

به گزارش گرداب، مجرمان اینترنتی اغلب از تکنیک‌های جدیدی برای به خطر انداختن افراد و شبکه‌های مورد حمله، استفاده می‌کنند. تشخیص دادن احتمال وقوع چنین حملاتی قبل از این که واقعا اتفاق بیفتند، به کاهش خسارت وارده کمک می‌کند.

اخیراً محققان امنیت سایبری در دانشگاه Ruhr University Bochum دو نوع تکنیک جدید برای حمله به PDF‌های معتبر را کشف کرده‌اند که مهاجمان با استفاده از آن‌ها می‌توانند محتوای معتبر و تایید شده را بدون این که امضای دیجیتالی آن تحت تاثیر قرار بگیرد، تغییر دهند و با محتوای مخرب جایگزین کنند. این دو نوع حمله‌ی جدید با نام‌های Evil Annotation Attack (EAA) و Sneaky Signature Attack (SSA) شناخته می‌شوند.

روش EAA یک کد مخرب را به سندی معتبر اضافه می‌کند و روش SSA ظاهر محتوای معتبر را با اضافه کردن چندین عنصر امضا دستکاری می‌کند. محققان گفتند که مهاجمان با استفاده از روش EAA می‌توانند محتوای اصلی را در ۱۵ اپلیکیشن از ۲۶ اپلیکیشن تغییر دهند و در ۸ اپلیکیشن نیز با استفاده از روش SSA، مشخصات PDF را تغییر دهند.

محققان گفتند: «با اضافه کردن قسمت درج امضا، امضاکننده می‌تواند موقعیت دقیق، ظاهر و محتوای سند را تعیین کند. این کار لازم است، چون هر امضای جدید، اطلاعات امضاکننده را شامل می‌شود. این اطلاعات می‌توانند یک تصویر، متن یا ترکیبی از هر دو باشند. با این وجود، مهاجمان می‌توانند از آن سوءاستفاده کرده تا سند را تغییر دهند و محتوای جدیدی به آن اضافه کنند.»

طبق این تحقیق، ۱۵ مورد از ۲۶ اپلیکیشنی که برای باز کردن PDF‌ها استفاده می‌شوند در برابر حملات EAA آسیب‌پذیر هستند و به مهاجمان اجازه می‌دهند تا محتوای PDF را تغییر دهند. چندین مورد در اپلیکیشن Adobe Acrobat Reader (CVE-۲۰۲۱-۲۸۵۴۵, CVE-۲۰۲۱-۲۸۵۴۶)، Foxit Reader (CVE-۲۰۲۰-۳۵۹۳۱) و Nitro Pro پیدا شده است که می‌تواند منجر به حملات EAA شود. به علاوه، Soda PDF Desktop، PDF Architect و ۶ اپلیکیشن دیگر برای PDF پیدا شده‌اند که در برابر حملات SSA آسیب‌پذیر هستند.

محققان در ادامه گفتند: «اگرچه EAA و SSA خود به تنهایی نمی‌توانند محتوا را تغییر دهند (چون همیشه در داخل PDF باقی می‌مانند)، اما می‌توان از حاشیه‌ها و بخش‌های درج امضا برای اضافه کردن محتوای جدید استفاده کرد. قربانیانی که این‌گونه PDF را باز می‌کنند، نمی‌توانند آن‌ها را از محتوا‌های معمولی تشخیص دهند و بدتر این که کد‌های جاوا اسکریپت (JavaScript) میتوانند در حاشیه‌ی فایل‌ها جاسازی شده باشند.»


برای جلوگیری از این‌گونه خطرات، میزان دسترسی به اطلاعات را محدود کنید

مجرمان اینترنتی اغلب اطلاعات حساس را از PDF‌هایی که به درستی محدود نشده‌اند، جمع‌آوری می‌کنند. تجزیه و تحلیل‌ها نشان می‌دهد که آژانس‌های امنیتی، میزان دسترسی به اطلاعات حساس اسنادی را که به صورت PDF هستند، قبل از به اشتراک گذاشتن با دیگران محدود نمی‌کنند. در این تجزیه و تحلیل مجموعه‌ای از ۳۹۶۶۴ سند PDF که توسط ۷۵ آژانس امنیتی از ۴۷ کشور جهان منتشر شده بود، جمع‌آوری شد تا کیفیت و کمیت داده‌هایی که از این طریق به سرقت رفته اند، مشخص شود.