Recentment, Kaspersky va descobrir un nou exploit que aprofitava d'una falla que era desconeguda a Chrome, la qual Google ha confirmat que hi ha una vulnerabilitat zero-day en el seu navegador i que ja està catalogat com CVE-2019-13720.
aquesta vulnerabilitat pot ser explotada utilitzant un atac utilitzant una injecció similar a un atac de "Watering Hole". Aquest tipus d'atac fa referència a un depredador que, en lloc de buscar preses, prefereix esperar en un lloc on està segur que vindrà (en aquest cas, en un punt d'aigua per a beure).
Ja que l'atac va ser descobert en un portal d'informació en coreà, En el qual s'ha inserit un codi JavaScript maliciós a la pàgina principal, que al seu torn carrega un script de creació de perfils des d'un lloc remot.
Al index de la pàgina web s'allotjava una petita inserció de codi JavaScript que carregava un script remot des code.jquery.cdn.behindcorona
L'script després carrega un altre script. Aquest script verifica si el sistema de la víctima pot infectar-se a l'realitzar una comparació amb l'agent d'usuari de navegador, que s'ha d'executar en una versió de Windows de 64 bits i no ser un procés WOW64.
També intenta obtenir el nom i la versió de navegador. La vulnerabilitat intenta explotar l'error al navegador Google Chrome i l'script comprova si la versió és més gran o igual a 65 (la versió actual de Chrome és 78).
La versió de Chrome verifica l'script de creació de perfils. Si es valida la versió de navegador, l'script comença a executar una sèrie de sol·licituds AJAX al servidor controlat de l'atacant, on el nom d'una ruta apunta el argument passat a l'script.
La primera sol·licitud és necessària per obtenir informació important per al seu ús posterior. Aquesta informació inclou múltiples cadenes codificades hexadecimals que li indiquen a l'script quants fragments de el codi d'explotació real s'han de descarregar de servidor, així com un URL a l'arxiu d'imatge que incorpora una clau per a la càrrega final i un Clau RC4 per desxifrar fragments de codi de l'exploit.
La majoria d'el codi usa diverses classes relacionades amb un determinat component vulnerable de el navegador. Atès que aquest error encara no s'havia solucionat a l'escriure la seva publicació, Kaspersky va decidir no incloure detalls sobre el component vulnerable específic.
Hi ha algunes taules grans amb nombres que representen un bloc de shellcode i una imatge PE integrada.
l'exploit va utilitzar un error d'race condition entre dos subprocessos causa de la falta de sincronització adequada entre ells. Això li dóna a l'atacant una condició molt perillosa d'ús després de l'alliberament (UAF) perquè pot conduir a escenaris d'execució de codi, que és exactament el que succeeix en aquest cas.
L'exploit primer intenta fer que UAF perdi informació important d'adreces de 64 bits (com un punter). Això dóna com a resultat diverses coses:
- si una adreça es divulga amb èxit, vol dir que l'exploit funciona correctament
- s'utilitza una adreça revelada per esbrinar on es troba el munt / pila i que cancel·la la tècnica d'assignació aleatòria de format d'espai d'adreces (ASLR)
- algunes altres indicacions útils per a una explotació posterior podrien ubicar mirant prop d'aquesta direcció.
Després d'això, intenta crear un gran grup d'objectes utilitzant una funció recursiva. Això es fa per crear un disseny de munt determinista, que és important per a una explotació reeixida.
A el mateix temps, està tractant d'usar una tècnica de polvorització de munt que té com a objectiu reutilitzar el mateix punter que es va llançar anteriorment en la part UAF.
Aquest truc podria usar-se per confondre i donar-li a l'atacant la capacitat d'operar en dos objectes diferents (des del punt de vista de JavaScript), encara que de fet estan en la mateixa regió de memòria.
Google ha llançat una actualització de Chrome que corregeix la falla en Windows, macOS i Linux, i es recomana als usuaris que actualitzen a la versió 78.0.3904.87 de Chrome.