nylig, Kaspersky opdagede en ny udnyttelse, der udnyttede en ukendt fejl i Chrome, hvilket Google har bekræftet, at der er en nul-dags sårbarhed i din browser, og at den allerede er katalogiseret som CVE-2019-13720.
Denne sårbarhed kan udnyttes ved hjælp af et angreb ved hjælp af en injektion svarende til et angreb fra "Vandhul". Denne type angreb henviser til et rovdyr, der i stedet for at lede efter bytte foretrækker at vente et sted, hvor det er sikkert, at det vil komme (i dette tilfælde i et punkt vand at drikke).
som angrebet blev opdaget på en informationsportal på koreansk, hvor ondsindet JavaScript-kode er blevet indsat på hovedsiden, som igen indlæser et profileringsscript fra et fjernt websted.
En lille indsættelse af JavaScript-kode var anbragt i indekset på websiden der indlæste et eksternt script fra code.jquery.cdn.behindcrown
Scriptet indlæser derefter et andet script. Dette script kontrollerer, om offerets system kan inficeres ved at foretage en sammenligning med browserens brugeragent, som skal køre på en 64-bit version af Windows og ikke være en WOW64-proces.
også prøv at få navnet og versionen af browseren. Sårbarheden forsøger at udnytte fejlen i Google Chrome-browseren, og scriptet kontrollerer, om versionen er større end eller lig med 65 (den nuværende version af Chrome er 78).
Chrome-versionen verificerer profileringsscript. Hvis browserversionen er valideret, begynder scriptet at udføre en række AJAX-anmodninger på angriberens kontrollerede server, hvor navnet på en sti peger på argumentet, der sendes til scriptet.
Den første anmodning er nødvendig for vigtig information til senere brug. Disse oplysninger inkluderer flere hex-kodede strenge, der fortæller scriptet, hvor mange klumper af den faktiske udnyttelseskode, der skal downloades fra serveren, samt en URL til billedfilen, der indeholder en nøgle til den endelige upload og en RC4-nøgle til at dekryptere klumper af kode for udnyttelsen.
Det meste af koden bruger forskellige klasser relateret til en bestemt sårbar browserkomponent. Da denne fejl endnu ikke var rettet i skrivende stund, besluttede Kaspersky ikke at medtage detaljer om den specifikke sårbare komponent.
Der er nogle store tabeller med tal, der repræsenterer en shellcode-blok og et indlejret PE-billede.
Udnyttelsen brugte en race-tilstandsfejl mellem to tråde på grund af manglende korrekt timing blandt dem. Dette giver angriberen en meget farlig tilstand efter brug efter frigivelse (UaF), fordi det kan føre til kodeudførelsesscenarier, hvilket er præcis, hvad der sker i dette tilfælde.
Udnyttelsen forsøger først at få UaF til at miste vigtige oplysninger 64-bit adresse (som en markør). Dette resulterer i flere ting:
- hvis en adresse afsløres med succes, betyder det, at udnyttelsen fungerer korrekt
- en afsløret adresse bruges til at finde ud af, hvor bunken / stakken er placeret, og som tilsidesætter ASLR-teknikken (Address Space Format Randomization)
- nogle andre nyttige henvisninger til yderligere udnyttelse kunne findes ved at se tæt på denne retning.
Derefter prøver du at oprette en stor gruppe objekter ved hjælp af en rekursiv funktion. Dette gøres for at skabe et deterministisk bunelayout, som er vigtigt for en vellykket udnyttelse.
På samme tid forsøger du at bruge en dyngsprøjtningsteknik, der sigter mod at genbruge den samme markør, der tidligere blev frigivet i UaF-delen.
Dette trick kunne bruges til at forvirre og give angriberen mulighed for at operere på to forskellige objekter (fra et JavaScript-synspunkt), selvom de faktisk er i samme hukommelsesregion.
Google har udgivet en Chrome-opdatering der løser fejlen på Windows, macOS og Linux, og brugerne opfordres til at opdatere til Chrome-version 78.0.3904.87.