I documenti PDF ci attaccano

Come capire se un file .pdf può danneggiare il PC? Beh, una delle peculiarità consiste nel fatto che possono contenere collegamenti, pulsanti, campi modulo, audio, video e altre funzionalità. Possono essere firmati elettronicamente ed essere visualizzati su diversi dispositivi, mantenendo teoricamente la stessa formattazione, indipendentemente da sistema operativo o browser. Ciò li rende “perfetti” per la realizzazione di attacchi PDF Exploit. Vediamo di capirne di più.

PDF EXPLOIT?

Veniamo subito al punto. Quando si parla di PDF exploit ci si riferisce a un metodo utilizzato per condurre attacchi usando file pdf all’interno dei quali è stato inserito uno script malevolo. Questo può essere un virus, uno spyware o anche un ransomware. Come abbiamo anticipato, infatti, i file PDF possono contenere del codice e “accogliere” degli oggetti di vario genere, tra cui altri file (per esempio documenti di Word con al loro interno anche delle macro!). Questo genere di attacco, generalmente, sfrutta delle vulnerabilità dei lettori PDF, siano essi dei programmi per la lettura o gli stessi browser.

L’impatto sui sistemi può essere vario e, a seconda della tipologia di malware impiegato, si potrebbe trattare di un DoS o di furto di dati, fino alla completa compromissione del sistema. Per renderci conto di quante vulnerabilità correlate coi file PDF vi siano, possiamo fare una veloce ricerca su MITRE inserendo il termine PDF come chiave: troverete una lista di quasi 3000 vulnerabilità!

COME PROTEGGERSI?

Tanto per cominciare diciamo subito che i normali antivirus in linea di massima non si accorgono della presenza del file Word all’interno del PDF, per cui non sono idonei a contrastare questo tipo di attacco. Diverso è il discorso per le sandbox. Ne esistono online, come per esempio hybrid analysis o stand alone, come per esempio Dangerzone. Quest’ultima soluzione utilizza diverse sandbox per elaborare il file potenzialmente dannoso che viene inizialmente convertito in PDF, quindi in Raw (costituito da soli pixel, dati di immagine non compressi e non elaborati), infine impiega una nuova sandbox per riconvertire i dati immagine in pdf, questa volta innocuo.

Esistono poi altri strumenti come i Web Application Firewall (WAF) che in linea teorica potrebbero essere in grado di individuare il contenuto dannoso anche all’interno di file PDF, ma spesso non sono settati per effettuare certi tipi di controlli per evitare l’introduzione di ritardi nell’esperienza utente. D’altra parte, esistono anche WAF che lavorando in parallelo sul traffico ricevuto non introducono ritardi. WAF basati solo sul controllo delle firme dei malware non sono però utili, meglio WAF basati su Machine Learning.

È possibile usare anche strumenti come OLEVBA, uno script per analizzare i file OLE (Object Linking and Embedding) e OpenXML (eXtensible Markup Language) come i documenti MS Office (Word, Excel ecc.), per rilevare le macro VBA (Visual Basic for Applications), estrarre il loro codice sorgente in testo in chiaro e individuare nel testo possibili rischi per la sicurezza come macro auto-eseguibili, parole chiave VBA sospette usate da malware, tecniche di anti-sandboxing e anti-virtualizzazione, e potenziali indicatori di compromissione (IOCs – Indicators of Compromise), come indirizzi IP, URL, nomi di file eseguibili ecc. OLEVBA è capace anche di rilevare diversi metodi di offuscamento, inclusi la codifica Hex, StrReverse, Base64, Dridex (trojan bancario), espressioni VBA e può estrarre indicatori di compromissione dalle stringhe decodificate. OLEVBA può essere utilizzato sia come strumento da riga di comando, sia come modulo Python dalle proprie applicazioni.

Un caso reale di tecnica di offuscamento

A fine 2023 due ricercatori del CERT giapponese JPCERT/CC, Yuma Masubuchi e Kota Kino, hanno posto l’attenzione su una nuova tecnica di evasione antivirus che consiste esattamente nell’inserire un documento Word contenente una VBS macro all’interno di un pdf. Il file così ottenuto si chiama “poliglotta”. È un file valido contemporaneamente in più formati. Naturalmente, il comportamento mostrato sarà differente quando viene interpretato da diversi programmi. Facciamo un esempio per capire meglio. Un file può essere contemporaneamente un PDF valido e un documento Word. Quando lo si apre in un lettore, esso si comporterà come un normale PDF. Ma quando verrà aperto in Word, mostrerà le proprietà di un documento Word. Gli attaccanti hanno sfruttato questa caratteristica per aggirare i filtri di sicurezza che cercano un tipo specifico di file dannoso. Se un sistema si aspetta un PDF, il documento poliglotta Word/PDF sembrerà innocuo. Ma quando aperto in Word, potrà eseguire il malware che contiene. La vera natura del file è nascosta finché non viene interpretato dal programma giusto. Questa sofisticata tecnica di offuscamento consente agli attaccanti di bypassare i sistemi di rilevamento di malware basati su firme statiche che si affidano all’uso di numeri magici dei file e formattazioni prevedibili.

Interoperabilità: la visione di John Warnock

Co-fondatore della Adobe Systems Incorporated, è stato una figura emblematica nel mondo della tecnologia, noto soprattutto per il suo ruolo nello sviluppo di PostScript, il linguaggio di descrizione di pagina che ha rivoluzionato il modo in cui i testi e le immagini vengono stampati su carta. Sotto la sua guida, Adobe ha lanciato il formato PDF, che è diventato rapidamente lo standard de facto per la distribuzione e lo scambio di documenti digitali. La visione di Warnock di un documento che appare uguale su qualsiasi piattaforma ha profondamente influenzato l’interoperabilità digitale.