Nedávno Kaspersky objevil nový exploit, který využil neznámé chyby v prohlížeči Chrome, který Google potvrdil, že existuje zranitelnost nulového dne ve vašem prohlížeči a že je již katalogizován jako CVE-2019-13720.
Tato chyba zabezpečení lze zneužít pomocí útoku pomocí injekce podobné útok z "Zalévání díra". Tento typ útoku se týká dravce, který místo hledání kořisti raději čeká na místě, kde si je jistý, že přijde (v tomto případě ve vodě k pití).
Jak útok byl objeven na informačním portálu v korejštině, ve kterém byl na hlavní stránku vložen škodlivý kód JavaScript, který zase načte profilovací skript ze vzdáleného webu.
V indexu webové stránky byla umístěna malá vložka kódu JavaScript který načetl vzdálený skript z code.jquery.cdn.behindcrown
Skript poté načte další skript. Tento skript zkontroluje, zda lze infikovat systém oběti, a to porovnáním s uživatelským agentem prohlížeče, který musí být spuštěn v 64bitové verzi systému Windows a nesmí být procesem WOW64.
také zkuste zjistit název a verzi prohlížeče. Chyba zabezpečení se pokusí zneužít chybu v prohlížeči Google Chrome a skript ověří, zda je verze vyšší nebo rovna 65 (aktuální verze prohlížeče Chrome je 78).
Verze Chrome ověřuje profilovací skript. Pokud je verze prohlížeče ověřena, skript začne provádět řadu požadavků AJAX na kontrolovaném serveru útočníka, kde název cesty ukazuje na argument předaný skriptu.
První požadavek je nutný pro důležité informace pro pozdější použití. Tyto informace zahrnují několik hex kódovaných řetězců, které skriptu sdělují, kolik bloků skutečného kódu zneužití ke stažení ze serveru, a také adresu URL obrazového souboru, který obsahuje klíč pro konečné nahrání a klíč RC4 pro dešifrování kousků kód zneužití.
Většina kódu používá různé třídy související s určitou zranitelnou součástí prohlížeče. Jelikož tato chyba nebyla v době psaní tohoto článku opravena, společnost Kaspersky se rozhodla nezahrnout podrobnosti o konkrétní zranitelné součásti.
Existuje několik velkých tabulek s čísly představujícími blok shell kódu a vložený obrázek PE.
Využití použil chybu podmínek závodu mezi dvěma vlákny kvůli nedostatku správného načasování mezi nimi. To dává útočníkovi velmi nebezpečnou podmínku použití po uvolnění (UaF), protože to může vést ke scénářům provádění kódu, což se v tomto případě přesně stane.
Exploit se nejprve pokusí přimět UaF ke ztrátě důležitých informací 64bitová adresa (jako ukazatel). Výsledkem je několik věcí:
- pokud je adresa zveřejněna úspěšně, znamená to, že zneužití funguje správně
- odhalená adresa se používá ke zjištění, kde je halda / zásobník umístěn a která přepíše techniku náhodného formátování adresního prostoru (ASLR)
- některé další užitečné ukazatele pro další využití lze najít při pohledu tímto směrem.
Poté se pokusíte vytvořit velkou skupinu objektů pomocí rekurzivní funkce. To se provádí k vytvoření deterministického uspořádání haldy, které je důležité pro úspěšné využití.
Zároveň se pokoušíte použít techniku stříkání haldy, jejímž cílem je znovu použít stejný ukazatel, který byl dříve vydán v části UaF.
Tento trik by mohl být použit k zmatení a poskytnutí útočníkovi schopnost pracovat na dvou různých objektech (z pohledu JavaScriptu), i když jsou ve skutečnosti ve stejné oblasti paměti.
Google vydal aktualizaci pro Chrome který opravuje chybu v systémech Windows, macOS a Linux a uživatelům se doporučuje aktualizovat na verzi Chrome 78.0.3904.87.