Si abres PDFs con Google Chrome podrías caer ante esta vulnerabilidad

Desde fines de diciembre de 2018 se han detectado múltiples muestras en PDFs que explotan una vulnerabilidad zeroday sin parchar que permite rastrear a los usuarios y recolectar su información cuando utilizan Google Chrome como su visor de PDF local. EdgeSpot, un servicio web en línea gratuito que proporciona detecciones avanzadas de exploits (tanto para […]

Desde fines de diciembre de 2018 se han detectado múltiples muestras en PDFs que explotan una vulnerabilidad zeroday sin parchar que permite rastrear a los usuarios y recolectar su información cuando utilizan Google Chrome como su visor de PDF local.

EdgeSpot, un servicio web en línea gratuito que proporciona detecciones avanzadas de exploits (tanto para exploits conocidos como desconocidos o zerodays),  afirma haber identificado varias muestras en la internet. Cuando uno de los archivos PDF maliciosos se abre con Chrome, se muestra un documento al usuario, pero se recopilan diversos datos y se envían a un servidor remoto en segundo plano.

Los investigadores dicen que no hay actividad sospechosa cuando los archivos se abren con un visor como Adobe Reader, pero el tráfico de salida se ha detectado cuando se abren con Chrome.

El motor de EdgeSpot detecta la muestra como un “Ataque Zero-Day Potencial (Google Chrome), Fuga de Información Personal”

Una captura de pantalla publicada por EdgeSpot muestra que uno de los archivos maliciosos era una versión modificada de un documento de Lonely Planet sobre la historia de las Islas de la Bahía en Honduras. Según los nombres de los archivos maliciosos, todos parecen hacer referencia a Honduras.

Al capturar el tráfico en segundo plano, observaron tráfico saliente y que los datos se enviaron al dominio “readnotify.com” mientras no había interacción del usuario, es decir, los datos se enviaron en silencio sin la aprobación del mismo.

El tráfico es un paquete HTTP POST, como se muestran en una captura de Wireshark:

Mientras el usuario “veía” el archivo, éste se comunicaba y enviaba datos como:
– La IP del usuario
– La versión del SO y de Chrome (se observa en el header del HTTP POST)
– La localización completa del archivo PDF en el computador del usuario (en el payload del HTTP POST)

Después de analizar las muestras, hallaron código en Javascript que les pareció sospechoso:

Después de desofuscar el código, resolvieron que la causa era el “this.submitForm()” en la API. Lo probaron con una prueba de concepto simple: la siguiente API call: “this.submitForm(‘http://google.com/test’)”. Esto haría que el archivo se comunicara con Google mediante Chrome.

EdgeSpot reportó sus hallazgos a Google el 26 de diciembre y finalmente los desarrolladores de Chrome solo lanzarían una solución a fines de abril. Entre el tiempo que ha pasado ya se han detectado múltiples muestras. 

“Decidimos publicar nuestro hallazgo antes del parche porque creemos que es mejor darles a los usuarios afectados la oportunidad de estar informados/alertados sobre el riesgo potencial, ya que los exploits/muestras activos andan sueltos, mientras que el parche no llega “, dijo EdgeSpot.

Hay otra muestra que se conecta a “http://zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net” para enviar la información del usuario.

Y se ha hallado una tercera categoría de muestras relacionada a este bug sin parchar de Chrome, que parece ser más maliciosa que las anteriores. El contenido es:

EdgeSpot destaca las 3 etapas de la acción maliciosa de este archivo:

1. El primer bloque muestra un stream en JavaScript ofuscado mediante codificación octal. Después de decodificarlo:

2. El segundo bloque, la URL \\\\52.210.81.127@80\\mf1ob8k1b5x2ykne8ep1wswtrlmjaz\\mPbjEw8CoTTrJug3RvLyDXxwMwWr1tZz.txt aparenta usar el “@80” para hacer que el tráfico de salida vaya a través del TCP 80. Esto permitiría evadir firewalls, según la teoría de EdgeSpot, pero no lo han podido confirmar.

3. El bloque 3 es un método tradicional de explotar la vulnerabilidad de Adobe Reader CVE-2018-4993, tratando de robar la credencial NTLM del usuario a través de puertos SMB.

En el momento del reporte de EdgeSpot, el servidor 52.210.81.127 todavía está activo y tanto TCP 80 como 445 están abiertos. Es recomendable bloquear esta dirección IP.

“Como una “solución temporal”, sugerimos a los usuarios preocupados que utilicen una aplicación de lector de PDF alternativa para ver los documentos PDF recibidos localmente hasta que Chrome solucione el problema, o desconecte la computadora de Internet cuando abra documentos PDF en Chrome”