Immagine: Google
Una società di sicurezza, ha detto questa settimana che ha scoperto documenti PDF sfruttando un browser Google Chrome zero-day. La vulnerabilità permesso agli aggressori di raccogliere dati dagli utenti, che ha aperto i file PDF all’interno di Chrome built-in visualizzatore di PDF.
Sfruttare il servizio di rilevamento EdgeSpot, la società che ha trovato il file, dice che i documenti PDF per contattare un dominio remoto con informazioni sul dispositivo dell’utente, ad esempio l’indirizzo IP, la versione del sistema operativo, versione di Chrome, e il percorso del file PDF sul computer dell’utente.
Questo telefono-casa di comportamento non ha avuto luogo quando i ricercatori hanno aperto lo stesso file PDF in desktop PDF viewer applicazioni, come ad esempio Adobe Reader e altri, ma è stata limitata a solo Cromato.
L’azienda ha detto che ha notato due insiemi distinti di file PDF maligni che sfruttano questo bug di Chrome, con una serie di file in circolazione circa ottobre 2017, e il secondo set, nel settembre 2018.
Il primo batch di file PDF maligni inviato dati dell’utente per l’ “readnotify.com” dominio, mentre il secondo mandato “zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net,” i ricercatori hanno detto.
Non c’è stato nessun ulteriore malware nel file PDF che EdgeSpot scoperto. Tuttavia, la raccolta di dati relativi agli utenti che hanno aperto un file PDF può aiutare gli attaccanti in sintonia con i futuri attacchi e gli exploit.
Ma in una conversazione con ZDNet dopo la pubblicazione di questa storia, il malware per Mac esperto di sicurezza Patrick Wardle, ha spiegato che il primo batch di file che EdgeSpot rilevati non erano destinate a essere dannoso in natura, nonostante sfruttando il bug di Chrome. Ha detto che sono stati assemblati utilizzando ReadNotify PDF servizio di tracking che consente agli utenti di tenere traccia di quando qualcuno visualizza il file PDF, un servizio che è stato intorno dal 2010.
“Quello che i ricercatori hanno ‘scoperto’ è solo un documento da ReadNotify,” Wardle ci ha detto: “ma sì, Chrome dovrebbe avvisare l’utente.”
https://t.co/bH4YY0xPtL
Dato un’occhiata al PDF & estratto JS 📝
“0day”: Chrome non avviso quando il PDF invia i dati a un server remoto (possibile tenere traccia di apertura del PDF & survey/geolocalizza l’utente)
Come: tramite app.openDoc API & FDFs.
btw https://t.co/HA3qTcMEF7 ha fatto questo in quanto (circa) 2010🤐🙈 pic.twitter.com/HUQZJApQGg
— patrick wardle (@patrickwardle) 28 febbraio 2019
Non c’è nessuna informazione disponibile sulla seconda serie di file PDF (quelli diffusi nel mese di settembre 2018) e la loro natura-se sono state montate da una minaccia attore, se sono solo test, o sono stati generati per benigni utente scopi di monitoraggio.
Per parte sua, EdgeSpot detto notificato Google per le vacanze di Natale, l’anno scorso, quando hanno scoperto i documenti. Team di Chrome ha riconosciuto il “giorno zero” e ha promesso un fix per la fine di aprile.
“Abbiamo deciso di rilasciare la nostra ricerca prima della patch, in quanto pensiamo che sia meglio per dare agli utenti interessati la possibilità di essere informato/avvisati del rischio potenziale, in quanto l’attivo exploit/campioni sono in natura, mentre la patch non è vicino, lontano,” i ricercatori hanno detto in un post sul blog di ieri.
Il post sul blog contiene anche i campioni e gli indicatori di compromesso (Ioc) per il file PDF la società scoperto.
Fino a quando una patch è uscita, EdgeSpot consiglia agli utenti di utilizzare una applicazione desktop per la visualizzazione di file PDF o disabilitare la connessione internet mentre aprire i documenti PDF in google Chrome.
Nel estranei di ricerca, ma anche legato al mondo dei documenti in formato PDF, all’inizio di questa settimana, i ricercatori di sicurezza hanno rivelato le vulnerabilità che ha permesso loro di firme false su 21 di 22 desktop PDF viewer app e 5 di 7 online in formato PDF con firma digitale servizi.
Articolo aggiornato con Wardle analisi.
Più browser copertura:
Google ritorna su Chrome modifiche che avrebbe paralizzato annuncio bloccanti
Un terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi sito
Microsoft Edge consente a Facebook di esecuzione del codice Flash dietro utenti backsSurveillance impresa di Mozilla chiede di essere incluso in Firefox certificato whitelistNew browser attacco consente agli hacker di eseguire codice non valido anche dopo che gli utenti di lasciare un web pageGoogle lavoro sul nuovo Chrome funzione di protezione per ‘cancellare DOM XSS’What le imprese hanno bisogno di conoscere il nuovo Cromo-based Bordo TechRepublicdi blocco degli Annunci Coraggioso ottiene memoria vantaggio su Chrome su siti web di notizie CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati