Nedavno Kaspersky je otkrio novu eksploataciju koja je iskoristila nepoznatu manu u Chromeu, što je Google potvrdio da postoji ranjivost nula dana u vašem pregledniku i da je već katalogiziran kao CVE-2019-13720.
Ova ranjivost može se iskoristiti napadom koristeći injekciju sličnu onoj napad od "Rupa za zalijevanje". Ova vrsta napada odnosi se na grabežljivca koji, umjesto da traži plijen, radije čeka na mjestu gdje je sigurno da će doći (u ovom slučaju, u točki vode za piće).
Od tada napad je otkriven na informativnom portalu na korejskom jeziku, u kojoj je zlonamjeran JavaScript kôd umetnut na glavnu stranicu, što zauzvrat učitava skriptu za profiliranje s udaljene web lokacije.
Mali uložak JavaScript koda bio je smješten u indeks web stranice koji je učitao udaljenu skriptu iz code.jquery.cdn.behindcrown
Skripta zatim učitava drugu skriptu. Ova skripta provjerava može li se žrtvin sistem zaraziti uspoređivanjem s korisničkim agentom preglednika, koji mora biti pokrenut u 64-bitnoj verziji Windowsa, a ne biti WOW64 proces.
Takođe pokušajte dobiti ime i verziju pregledača. Ranjivost pokušava iskoristiti grešku u pregledniku Google Chrome i skripta provjerava je li verzija veća ili jednaka 65 (trenutna verzija Chromea je 78).
Chrome verzija provjerava skriptu za profilisanje. Ako je verzija pregledača potvrđena, skripta započinje s izvršavanjem niza AJAX zahtjeva na kontroliranom serveru napadača, gdje ime putanje upućuje na argument proslijeđen skripti.
Prvi zahtjev je neophodan za važne informacije za kasniju upotrebu. Ove informacije uključuju više hex kodiranih nizova koji skripti govore koliko dijelova stvarnog koda eksploatacije treba preuzeti s poslužitelja, kao i URL slikovne datoteke koja sadrži ključ za konačni prijenos i RC4 ključ za dešifriranje dijelova kod eksploatacije.
Većina koda koristi razne klase povezane s određenom ranjivom komponentom preglednika. Budući da ova greška još nije bila ispravljena u vrijeme pisanja ovog teksta, Kaspersky je odlučio da ne uključuje detalje o specifičnoj ranjivoj komponenti.
Postoje neke velike tablice s brojevima koji predstavljaju blok ljuske i ugrađenu PE sliku.
Eksploat koristio je grešku stanja trke između dvije niti zbog nedostatka odgovarajućeg vremena među njima. To napadaču daje vrlo opasno stanje nakon puštanja (UaF) jer može dovesti do scenarija izvršenja koda, što se upravo događa u ovom slučaju.
Ekploit prvo pokušava natjerati UaF da izgubi važne informacije 64-bitna adresa (poput pokazivača). Rezultat je nekoliko stvari:
- ako je adresa uspješno otkrivena, to znači da exploit ispravno radi
- otkrivena adresa koristi se da bi se otkrilo gdje se nalazi hrpa / stog i što nadjačava tehniku nasumičnog formatiranja prostora prostora (ASLR)
- neki drugi korisni pokazivači za daljnje iskorištavanje mogli bi se pronaći gledajući blizu ovog smjera.
Nakon toga pokušavate stvoriti veliku grupu objekata pomoću rekurzivne funkcije. To se radi za stvaranje determinističkog rasporeda hrpe, što je važno za uspješno iskorištavanje.
Istovremeno, pokušavate koristiti tehniku raspršivanja gomile koja ima za cilj ponovnu upotrebu istog pokazivača koji je prethodno objavljen u dijelu UaF-a.
Ovaj trik bi se mogao koristiti za zbunjivanje i davanje napadaču mogućnosti da operira s dva različita objekta (sa JavaScript tačke gledišta), iako su oni zapravo u istoj memorijskoj regiji.
Google je objavio ažuriranje za Chrome koji ispravlja nedostatak na Windowsima, MacOS-ima i Linuxu, a korisnici se ohrabruju da izvrše ažuriranje na Chrome verziju 78.0.3904.87.