في الآونة الأخيرة، اكتشفت Kaspersky ثغرة جديدة استغلت عيبًا غير معروف في Chrome ، والذي أكدت Google وجوده ثغرة يوم الصفر في المستعرض الخاص بك وأنه مفهرس بالفعل باسم CVE-2019-13720.
هذا الضعف يمكن استغلالها باستخدام هجوم باستخدام حقنة مشابهة لـ هجوم "ثقب الري". يشير هذا النوع من الهجوم إلى حيوان مفترس ، بدلاً من البحث عن فريسة ، يفضل الانتظار في مكان يكون متأكدًا من أنه سيأتي فيه (في هذه الحالة ، في نقطة ماء للشرب).
كما تم اكتشاف الهجوم على بوابة معلومات باللغة الكورية، حيث تم إدخال شفرة JavaScript ضارة في الصفحة الرئيسية ، والتي بدورها تقوم بتحميل برنامج نصي للتنميط من موقع بعيد.
تم إدراج إدخال صغير من كود JavaScript في فهرس صفحة الويب التي تم تحميل برنامج نصي بعيد من code.jquery.cdn.behindcrown
ثم يقوم البرنامج النصي بتحميل برنامج نصي آخر. يتحقق هذا البرنامج النصي من إمكانية إصابة نظام الضحية عن طريق إجراء مقارنة مع وكيل مستخدم المتصفح ، والذي يجب أن يعمل على إصدار 64 بت من Windows وليس عملية WOW64.
أيضا حاول الحصول على اسم المتصفح وإصداره. تحاول الثغرة استغلال الخطأ الموجود في متصفح Google Chrome ويتحقق البرنامج النصي مما إذا كان الإصدار أكبر من أو يساوي 65 (الإصدار الحالي من Chrome هو 78).
يتحقق إصدار Chrome من البرنامج النصي للتنميط. إذا تم التحقق من إصدار المستعرض ، فسيبدأ البرنامج النصي في تنفيذ سلسلة من طلبات AJAX على الخادم الذي يتحكم فيه المهاجم ، حيث يشير اسم المسار إلى الوسيطة التي تم تمريرها إلى البرنامج النصي.
الطلب الأول ضروري للحصول على معلومات مهمة لاستخدامها لاحقًا. تتضمن هذه المعلومات سلاسل متعددة مشفرة سداسية عشرية تخبر البرنامج النصي عن عدد أجزاء رمز الاستغلال الفعلي المطلوب تنزيله من الخادم ، بالإضافة إلى عنوان URL لملف الصورة الذي يشتمل على مفتاح للتحميل النهائي ومفتاح RC4 لفك تشفير أجزاء من رمز الاستغلال.
معظم الكود يستخدم فئات مختلفة متعلقة بمكون متصفح ضعيف. نظرًا لأن هذا الخطأ لم يتم إصلاحه في وقت كتابة هذا التقرير ، فقد قررت Kaspersky عدم تضمين تفاصيل حول المكون الضعيف المحدد.
توجد بعض الجداول الكبيرة التي تحتوي على أرقام تمثل كتلة كود القشرة وصورة PE مضمنة.
الاستغلال استخدم خطأ حالة السباق بين خيطين بسبب عدم وجود توقيت مناسب بينهم. هذا يعطي المهاجم حالة استخدام بعد الإصدار (UaF) خطيرة للغاية لأنه يمكن أن يؤدي إلى سيناريوهات تنفيذ الكود ، وهو ما يحدث بالضبط في هذه الحالة.
يحاول الاستغلال أولاً جعل UaF يفقد معلومات مهمة عنوان 64 بت (مثل المؤشر). ينتج عن هذا عدة أشياء:
- إذا تم الكشف عن العنوان بنجاح ، فهذا يعني أن الاستغلال يعمل بشكل صحيح
- يتم استخدام عنوان تم الكشف عنه لمعرفة مكان وجود الكومة / المكدس والذي يلغي تقنية عشوائية تنسيق مساحة العنوان (ASLR)
- يمكن تحديد بعض المؤشرات المفيدة الأخرى لمزيد من الاستغلال من خلال النظر بالقرب من هذا الاتجاه.
بعد ذلك ، تحاول إنشاء مجموعة كبيرة من الكائنات باستخدام دالة تكرارية. يتم إجراء ذلك لإنشاء تخطيط كومة حتمية ، وهو أمر مهم لاستغلال ناجح.
في الوقت نفسه ، تحاول استخدام تقنية رش الكومة التي تهدف إلى إعادة استخدام نفس المؤشر الذي تم إصداره مسبقًا في جزء UaF.
يمكن استخدام هذه الحيلة للتشويش ومنح المهاجم القدرة على العمل على كائنين مختلفين (من وجهة نظر JavaScript) ، على الرغم من أنهما في الواقع في نفس منطقة الذاكرة.
أصدرت Google تحديث Chrome الذي يعمل على إصلاح الخلل في أنظمة التشغيل Windows و macOS و Linux ، ويتم تشجيع المستخدمين على التحديث إلى إصدار Chrome رقم 78.0.3904.87.