رفع یا کشف نقاط ضعف امنیتی قبل از این که مجرمان اینترنتی از آن سوءاستفاده کنند، مطمئنا به امنیت دادهها کمک بزرگی میکند.
به گزارش گرداب، مجرمان اینترنتی اغلب از تکنیکهای جدیدی برای به خطر انداختن افراد و شبکههای مورد حمله، استفاده میکنند. تشخیص دادن احتمال وقوع چنین حملاتی قبل از این که واقعا اتفاق بیفتند، به کاهش خسارت وارده کمک میکند.
اخیراً محققان امنیت سایبری در دانشگاه Ruhr University Bochum دو نوع تکنیک جدید برای حمله به PDFهای معتبر را کشف کردهاند که مهاجمان با استفاده از آنها میتوانند محتوای معتبر و تایید شده را بدون این که امضای دیجیتالی آن تحت تاثیر قرار بگیرد، تغییر دهند و با محتوای مخرب جایگزین کنند. این دو نوع حملهی جدید با نامهای Evil Annotation Attack (EAA) و Sneaky Signature Attack (SSA) شناخته میشوند.
روش EAA یک کد مخرب را به سندی معتبر اضافه میکند و روش SSA ظاهر محتوای معتبر را با اضافه کردن چندین عنصر امضا دستکاری میکند. محققان گفتند که مهاجمان با استفاده از روش EAA میتوانند محتوای اصلی را در ۱۵ اپلیکیشن از ۲۶ اپلیکیشن تغییر دهند و در ۸ اپلیکیشن نیز با استفاده از روش SSA، مشخصات PDF را تغییر دهند.
محققان گفتند: «با اضافه کردن قسمت درج امضا، امضاکننده میتواند موقعیت دقیق، ظاهر و محتوای سند را تعیین کند. این کار لازم است، چون هر امضای جدید، اطلاعات امضاکننده را شامل میشود. این اطلاعات میتوانند یک تصویر، متن یا ترکیبی از هر دو باشند. با این وجود، مهاجمان میتوانند از آن سوءاستفاده کرده تا سند را تغییر دهند و محتوای جدیدی به آن اضافه کنند.»
طبق این تحقیق، ۱۵ مورد از ۲۶ اپلیکیشنی که برای باز کردن PDFها استفاده میشوند در برابر حملات EAA آسیبپذیر هستند و به مهاجمان اجازه میدهند تا محتوای PDF را تغییر دهند. چندین مورد در اپلیکیشن Adobe Acrobat Reader (CVE-۲۰۲۱-۲۸۵۴۵, CVE-۲۰۲۱-۲۸۵۴۶)، Foxit Reader (CVE-۲۰۲۰-۳۵۹۳۱) و Nitro Pro پیدا شده است که میتواند منجر به حملات EAA شود. به علاوه، Soda PDF Desktop، PDF Architect و ۶ اپلیکیشن دیگر برای PDF پیدا شدهاند که در برابر حملات SSA آسیبپذیر هستند.
محققان در ادامه گفتند: «اگرچه EAA و SSA خود به تنهایی نمیتوانند محتوا را تغییر دهند (چون همیشه در داخل PDF باقی میمانند)، اما میتوان از حاشیهها و بخشهای درج امضا برای اضافه کردن محتوای جدید استفاده کرد. قربانیانی که اینگونه PDF را باز میکنند، نمیتوانند آنها را از محتواهای معمولی تشخیص دهند و بدتر این که کدهای جاوا اسکریپت (JavaScript) میتوانند در حاشیهی فایلها جاسازی شده باشند.»
برای جلوگیری از اینگونه خطرات، میزان دسترسی به اطلاعات را محدود کنید
مجرمان اینترنتی اغلب اطلاعات حساس را از PDFهایی که به درستی محدود نشدهاند، جمعآوری میکنند. تجزیه و تحلیلها نشان میدهد که آژانسهای امنیتی، میزان دسترسی به اطلاعات حساس اسنادی را که به صورت PDF هستند، قبل از به اشتراک گذاشتن با دیگران محدود نمیکنند. در این تجزیه و تحلیل مجموعهای از ۳۹۶۶۴ سند PDF که توسط ۷۵ آژانس امنیتی از ۴۷ کشور جهان منتشر شده بود، جمعآوری شد تا کیفیت و کمیت دادههایی که از این طریق به سرقت رفته اند، مشخص شود.