Zero-day in Chrome wordt gebruikt om informatie te verzamelen via PDF’s

Beveiligingsbedrijf EdgeSpot heeft PDF-documenten ontdekt die misbruik maken van een zero-daylek in de PDF-viewer van Google Chrome om informatie te verzamelen.

EdgeSpot heeft twee verschillende sets van PDF-bestanden ontdekt, waarvan één reeks bestanden in oktober 2017 is verspreid en de tweede reeks in september 2018.

De eerste batch stuurde gebruikersgegevens terug naar het domein ‘readnotify.com’, terwijl de tweede deze naar ‘zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net.’ stuurde. De PDF’s vertoonden dit gedrag alleen in de PDF-viewer van Chrome, niet in andere PDF-viewers.

De onderzoekers troffen geen andere schadelijke code in de PDF-bestanden aan, maar brachten Google eind vorig jaar wel van de ontdekking op de hoogte. Het verzamelen van gegevens over gebruikers die een PDF-bestand openen, kan volgens EdgeSpot aanvallers helpen bij het verfijnen van toekomstige aanvallen en exploits.

Googles Chrome-team heeft de zero-day erkend en aangegeven voor eind april 2019 met een oplossing te komen. EdgeSpot raadt gebruikers aan voorlopig een desktop-app te gebruiken om PDF-bestanden te bekijken of de internetverbinding uit te schakelen als ze PDF-documenten openen in Chrome.

“We hebben besloten om onze bevinding voorafgaand aan de patch vrij te geven, omdat we denken dat het beter is getroffen gebruikers een kans te geven op de hoogte te zijn van het potentiële risico. De exploit wordt nu actief in het wild gebruikt, terwijl het nog even duurt voordat de patch er is”, aldus onderzoekers van EdgeSpot.

(Niet) kwaadaardig

Patrick Wardle, een security-expert gespecialiseerd in Mac-malware, zegt tegen ZDNet dat de eerste batch PDF-bestanden waarschijnlijk onschadelijk is, hoewel ze de bug in Chrome misbruiken. Ze werden volgens Wardle opgemaakt met de PDF-trackingservice van ReadNotify, die gebruikers toelaat te tracken wanneer iemand een PDF-bestand opent. De dienst bestaat al sinds 2010.

“Wat de onderzoekers hebben ontdekt, is slechts een document getagd door ReadNotify,” vertelt Wardle aan ZDNet. “Maar ja, Chrome zou de gebruiker moeten waarschuwen.”

Van de tweede batch bestanden is niet bekend of ze al dan niet kwaadaardig zijn. Het zou ook hier om tracking- of testdoeleinden kunnen gaan.

Lees ook: Chrome-update moet websites die https combineren met http veiliger maken