Des chercheurs ont repéré une attaque inhabituelle de type “trackware” (logiciel de suivi) déclenchée par la visualisation d’un fichier PDF dans le navigateur Chrome.
La société de sécurité EdgeSpot a déclaré avoir remarqué des PDF suspects, qui semblent circuler depuis 2017, et qui envoient du trafic HTTP POST vers le site de suivi readnotify.com.
Ce comportement ne se produisait que lorsqu’un utilisateur visionnait un fichier PDF à l’aide de Google Chrome version bureau. Lors de son ouverture dans Adobe Reader, le comportement du fichier PDF était redevenu normal.
Les données envoyées incluaient l’adresse IP de l’utilisateur, les versions de Chrome et du système d’exploitation, ainsi que le chemin complet du fichier PDF sur l’ordinateur en question.
Bien que ce ne soit pas l’exploit le plus redoutable, sa conception est similaire à une attaque découverte en avril dernier (CVE-2018-4993) conçue pour voler les hachages de NT Lan Manager (NTLM v2) via les lecteurs Adobe et Foxit.
Une seconde variante de cette attaque a ensuite été découverte par EdgeSpot en novembre. Elle a été identifiée et corrigée sous le nom CVE-2018-15979.
Pourquoi une personne serait-elle intéressée par des données relativement inoffensives ?
Je spécule ici, mais une possibilité pourrait être de tester la faisabilité d’utiliser des PDF de cette manière, avant une campagne plus importante.
Si c’était le cas, ce n’était pas une mauvaise stratégie pour explorer, sans être vu, d’une manière difficile à mettre en œuvre sur Adobe reader en utilisant cette même technique. EdgeSpot a déclaré :
Nous avons décidé de publier nos résultats avant le patch car nous pensons qu’il est préférable de donner aux utilisateurs affectés une chance d’être informés/avertis du risque potentiel, car les exploits/échantillons actifs sont dans la nature alors que le patch n’est pas disponible pour l’instant.
Quoi faire
Jusqu’à ce que ce problème soit corrigé, EdgeSpot recommande de visualiser les fichiers PDF dans une application autre que Chrome, voire de mettre l’ordinateur hors ligne lors de l’ouverture de fichiers PDF (Chrome sur Android n’est pas affecté, car l’ouverture des fichiers PDF sur des appareils mobiles se fait via une application distincte).
Une alternative possible consiste à modifier l’option par défaut de Chrome dans la visualisation des fichiers PDF au niveau du navigateur afin que ceux-ci soient téléchargés et visualisés dans une application distincte telle qu’Adobe Reader. Cela se fait via Paramètres > Paramètres Avancés > Paramètres de contenu > Documents PDF, en cochant l’option “Télécharger les fichiers PDF au lieu de les ouvrir automatiquement dans Chrome”.
Notez que si vous exécutez Reader DC sous Windows, il a peut-être également installé une extension Chrome distincte pour l’ouverture de fichiers PDF. Cela ne remplace pas les paramètres de téléchargement/affichage PDF de Chrome et peut donc être laissé activé.
Selon EdgeSpot, Google corrigera cette vulnérabilité “fin avril”, probablement une référence à Chrome 74 prévue pour le 23 avril (30 avril sur Chromebook).
Billet inspiré de Data-tracking Chrome flaw triggered by viewing PDFs, sur Sophos nakedsecurity.