安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于Google Chrome打开恶意PDF的0 day漏洞的安全公告
2019-03-04   消息来源:亚信安全   (点击: )

大工网安告[2019]005号

一、情况分析

从2018年12月起,EdgeSpot研究人员检测到利用Google Chrome 0 day漏洞的多个PDF样本。攻击者利用该漏洞可以在用户用Chrome作为本地PDF阅读器时,让PDF文件的发送方来追踪用户和收集用户的部分信息。

二、影响范围

从去年12月开始,研究人员陆续发现一些恶意PDF样本。这些样本在主流的Adobe Reader中打开是没有问题的,但是当用本地Google Chrome打开后会产生一些可疑的流量。通过在后台抓取流量,研究人员发现了一些数据在没有用户交互的情况下被发送给域名readnotify.com,也就是说这些数据在没有用户授权的情况下被窃取了。用户查看PDF文件时,该PDF实际上是在与C2服务器进行通信。

根据HTTP包的信息,被收集和发送的用户信息包括:

· 用户的公网IP地址

· OS和Chrome版本等

· PDF文件在用户电脑中的完整路径

近期,研究人员又发现一些更多的恶意PDF样本,包括2018年11月发现的和最近@insertScript发现的。与之前样本不同的是,新样本:

· 影响的是Google Chrome(作为本地PDF阅读器),而不是Adobe Reader。

· 不允许窃取NTLM,但是会泄露操作系统信息和文件保存的路径。

研究人员已经与Google取得联系,确认了0 day漏洞的详细情况,Chrome团队称该漏洞会在4月底进行更新和修复。

三、处置建议

研究人员建议相关用户在Chrome修复该漏洞前不要使用Chrome查看本地PDF文件,如果只能使用Chrome,那么查看的时候暂时断开网络连接。