Ilustrasi. | The Hacker News
Ilustrasi. | The Hacker News
Cyberthreat.id – Apakah mungkin menjebol konten PDF (Protable Document Format) terenkripsi tanpa mengetahui kata sandi?
Jawabannya adalah “sangat bisa”. Itulah PDFex, serangkaian teknik baru termasuk dua kelas serangan yang memanfaatkan kelemahan keamanan dalam perlindungan enkripsi standar yang dibangun ke dalam Portable Document Format, lebih dikenal sebagai PDF.
Hanya saja, menurut The Hacker News, si penyerang tidak dapat mengetahui atau menghapus kata sandi untuk PDF terenkripsi. Dengan kata lain, si penyerang PDFex hanya memodifikasi dokumen PDF yang dilindungi.
Cara kerjanya, ketika seseorang membuka dengan kata sandi yang tepat, file tersebut otomatis mengirimkan salinan konten yang didekripsi ke penyerang jarak jauh- server terkontrol di Internet.
Para peneliti menguji serangan PDFex terhadap 27 pemirsa PDF yang banyak digunakan -- berbasis desktop maupun browser. Hasilnya, semua rentan terhadap setidaknya satu dari dua serangan.
Pemirsa PDF yang terpengaruh mencakup perangkat lunak populer untuk Windows, macOS dan sistem operasi desktop Linux seperti:
Ditemukan tim peneliti keamanan Jerman, menurut The Hacker News, PDFex bekerja karena dua kelemahan utama dalam enkripsi PDF, seperti dijelaskan di bawah ini:
1) Partial Encryption - Spesifikasi PDF standar dengan desain mendukung enkripsi sebagian yang hanya memungkinkan string dan stream dienkripsi, sementara objek yang mendefinisikan struktur dokumen PDF tetap tidak terenkripsi.
Dengan demikian, dukungan untuk pencampuran ciphertext dengan plaintext meninggalkan peluang bagi penyerang untuk dengan mudah memanipulasi struktur dokumen dan menyuntikkan muatan berbahaya ke dalamnya.
2) Ciphertext Malleability - Enkripsi PDF menggunakan mode enkripsi Cipher Block Chaining (CBC) tanpa pemeriksaan integritas, yang dapat dieksploitasi oleh penyerang untuk membuat bagian ciphertext self-exfiltrating ciphertext.
Sekarang, mari kita secara singkat memahami dua kelas serangan PDFex.
Kelas 1: Eksfiltrasi Langsung - Menyalahgunakan fitur enkripsi sebagian dari file PDF yang dilindungi.
Sementara membiarkan konten yang akan diekstrak tidak tersentuh, penyerang dapat menambahkan objek tidak terenkripsi tambahan dalam PDF terenkripsi yang ditargetkan, yang dapat digunakan untuk menentukan tindakan jahat yang harus dilakukan ketika berhasil dibuka oleh pengguna yang sah.
Tindakan-tindakan ini, seperti yang tercantum di bawah ini, menentukan cara penyerang jarak jauh dapat memeras konten:
"Tindakan merujuk bagian terenkripsi sebagai konten untuk dimasukkan dalam permintaan dan dengan demikian dapat digunakan untuk mengekstrak teks plainteks mereka ke URL yang sewenang-wenang."
"Eksekusi Tindakan dapat dipicu secara otomatis setelah file PDF dibuka (setelah dekripsi) atau melalui interaksi pengguna, misalnya, dengan mengklik di dalam dokumen."
Misalnya, seperti yang ditunjukkan pada gambar, objek yang berisi URL (dalam warna biru) untuk pengiriman formulir tidak dienkripsi dan sepenuhnya dikendalikan oleh penyerang.
Kelas 2: Gadget CBC - Tidak semua pemirsa PDF mendukung dokumen yang dienkripsi sebagian, tetapi banyak dari mereka juga tidak memiliki perlindungan integritas file, yang memungkinkan penyerang mengubah data plaintext secara langsung dalam objek terenkripsi.
Skenario serangan berbasis gadget CBC hampir sama dengan serangan Direct Exfiltration dengan satu-satunya perbedaan bahwa di sini penyerang memodifikasi konten terenkripsi yang ada atau membuat konten baru dari gadget CBC untuk menambahkan tindakan yang menentukan cara mengekstrak data.
Tim peneliti, yang meliputi enam akademisi Jerman dari Ruhr-University Bochum dan Münster University, telah melaporkan temuan mereka kepada semua vendor yang terkena dampak dan juga merilis eksploit bukti konsep untuk serangan PDFex kepada publik.
Beberapa penelitian sebelumnya -- tim peneliti yang sama-- termasuk serangan eFail terungkap pada Mei 2018 yang memengaruhi lebih dari selusin klien email terenkripsi PGP yang populer.
Untuk perincian lebih teknis dari serangan PDFex, Anda dapat mengunjungi situs web khusus ini yang dirilis oleh para peneliti dan makalah penelitian [PDF] berjudul, "Practical Decryption exFiltration: Breaking PDF Encryption."
Share:
