Falla nel Visualizzatore PDF di Google Chrome

Proto: N010319.

Con la presente Yoroi desidera informarLa relativamente ad una vulnerabilità zero-day all’interno del visualizzatore PDF integrato in Google Chrome, comunemente abilitato nelle installazioni di default del browser web.

La problematica è originata da lacune nella gestione di contenuti attivi, tipicamente JavaScript, nel motore di rendering di documenti PDF, circostanza che può permettere ad un attaccante di rete di forzare una comunicazioni arbitraria all’apertura del documento stesso. Tali comportamenti inattesi possono essere sfruttati durante le fasi preliminari di attacchi mirati: per raccogliere informazioni sugli host bersaglio ed hash di autenticazione NTLM.  Peculiarità di rilievo identificata da ricercatori di terze parti, è la possibilità di convogliare la comunicazione sia su porta tcp/445, tipica delle condivisioni Windows CIFS/SMB, che attraverso la porta tcp/80, la quale potrebbe essere assoggettata a meno restrizioni di comunicazione verso l’esterno

Il Produttore ha confermato la problematica ed ha pianificato la presa in carico della falla entro Aprile 2019, tuttavia sono stati rilevati documenti PDF malevoli in the wild sfruttanti la criticità.

A questo proposito, qualora all’interno del vostro parco macchine client fosse in uso il browser Google Chrome, Yoroi suggerisce di valutare la disabilitazione del Visualizzatore PDF integrato al suo interno, in favore di quello di sistema tramite la configurazione “Download PDF files instead of automatically opening them in Chrome” all’interno del menu “Settings”, “Privacy”, “PDF Documents”.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index