Πρόσφατα, Ο Kaspersky ανακάλυψε μια νέα εκμετάλλευση που εκμεταλλεύτηκε ένα άγνωστο ελάττωμα στο Chrome, το οποίο η Google επιβεβαίωσε ότι υπάρχει μια ευπάθεια μηδενικής ημέρας στο πρόγραμμα περιήγησής σας και ότι έχει ήδη καταχωριστεί ως CVE-2019-13720.
Αυτή η ευπάθεια μπορεί να αξιοποιηθεί χρησιμοποιώντας μια επίθεση χρησιμοποιώντας μια ένεση παρόμοια με μια επίθεση του "Τρύπα ποτίσματος". Αυτός ο τύπος επίθεσης αναφέρεται σε έναν αρπακτικό που, αντί να ψάχνει για θήραμα, προτιμά να περιμένει σε ένα μέρος όπου είναι σίγουρο ότι θα έρθει (σε αυτήν την περίπτωση, σε ένα σημείο νερού για να πιει).
Δεδομένου ότι η επίθεση ανακαλύφθηκε σε μια πύλη πληροφοριών στα Κορεάτικα, στον οποίο έχει εισαχθεί κακόβουλος κώδικας JavaScript στην κύρια σελίδα, ο οποίος με τη σειρά του φορτώνει ένα σενάριο προφίλ από έναν απομακρυσμένο ιστότοπο.
Ένα μικρό ένθετο κώδικα JavaScript τοποθετήθηκε στο ευρετήριο της ιστοσελίδας από το οποίο φορτώθηκε ένα απομακρυσμένο σενάριο από code.jquery.cdn.behindcrown
Στη συνέχεια, το σενάριο φορτώνει ένα άλλο σενάριο. Αυτό το σενάριο ελέγχει εάν το σύστημα του θύματος μπορεί να μολυνθεί κάνοντας σύγκριση με τον πράκτορα χρήστη του προγράμματος περιήγησης, ο οποίος πρέπει να εκτελείται σε έκδοση 64-bit των Windows και να μην είναι διαδικασία WOW64.
επίσης προσπαθήστε να λάβετε το όνομα και την έκδοση του προγράμματος περιήγησης. Η ευπάθεια προσπαθεί να εκμεταλλευτεί το σφάλμα στο πρόγραμμα περιήγησης Google Chrome και το σενάριο ελέγχει εάν η έκδοση είναι μεγαλύτερη ή ίση με 65 (η τρέχουσα έκδοση του Chrome είναι 78).
Η έκδοση του Chrome επαληθεύει το σενάριο προφίλ. Εάν η έκδοση του προγράμματος περιήγησης έχει επικυρωθεί, το σενάριο αρχίζει να εκτελεί μια σειρά αιτημάτων AJAX στον ελεγχόμενο διακομιστή του εισβολέα, όπου το όνομα μιας διαδρομής δείχνει το όρισμα που πέρασε στο σενάριο.
Το πρώτο αίτημα είναι απαραίτητο για σημαντικές πληροφορίες για μελλοντική χρήση. Αυτές οι πληροφορίες περιλαμβάνουν πολλές δεκαεξαδικές κωδικοποιημένες συμβολοσειρές που λένε στο σενάριο πόσα κομμάτια του πραγματικού κώδικα εκμετάλλευσης για λήψη από το διακομιστή, καθώς και μια διεύθυνση URL στο αρχείο εικόνας που ενσωματώνει ένα κλειδί για την τελική μεταφόρτωση και ένα κλειδί RC4 για την αποκρυπτογράφηση τεμαχίων κωδικός της εκμετάλλευσης.
Το μεγαλύτερο μέρος του κώδικα χρησιμοποιεί διάφορες κατηγορίες που σχετίζονται με ένα συγκεκριμένο ευπαθές πρόγραμμα περιήγησης Δεδομένου ότι αυτό το σφάλμα δεν είχε ακόμη διορθωθεί κατά τη στιγμή της γραφής, ο Kaspersky αποφάσισε να μην συμπεριλάβει λεπτομέρειες σχετικά με το συγκεκριμένο ευάλωτο στοιχείο.
Υπάρχουν μερικοί μεγάλοι πίνακες με αριθμούς που αντιπροσωπεύουν ένα μπλοκ κωδικού κελύφους και μια ενσωματωμένη εικόνα PE.
Η εκμετάλλευση χρησιμοποίησε ένα σφάλμα κατάστασης αγώνα μεταξύ δύο νημάτων λόγω έλλειψης κατάλληλου χρονισμού ανάμεσα τους. Αυτό δίνει στον εισβολέα μια πολύ επικίνδυνη κατάσταση μετά την απελευθέρωση (UaF) επειδή μπορεί να οδηγήσει σε σενάρια εκτέλεσης κώδικα, κάτι που συμβαίνει ακριβώς σε αυτήν την περίπτωση.
Η εκμετάλλευση προσπαθεί πρώτα να κάνει το UaF να χάσει σημαντικές πληροφορίες 64-bit διεύθυνση (σαν δείκτης). Αυτό έχει ως αποτέλεσμα πολλά πράγματα:
- Εάν μια διεύθυνση αποκαλυφθεί επιτυχώς, αυτό σημαίνει ότι η εκμετάλλευση λειτουργεί σωστά
- χρησιμοποιείται μια αποκάλυψη διεύθυνσης για να ανακαλύψει πού βρίσκεται ο σωρός / στοίβα και που παρακάμπτει την τεχνική τυχαιοποίησης μορφής χώρου διευθύνσεων (ASLR)
- Μερικοί άλλοι χρήσιμοι δείκτες για περαιτέρω εκμετάλλευση θα μπορούσαν να βρεθούν κοιτάζοντας κοντά σε αυτήν την κατεύθυνση.
Μετά από αυτό, προσπαθείτε να δημιουργήσετε μια μεγάλη ομάδα αντικειμένων χρησιμοποιώντας μια αναδρομική συνάρτηση. Αυτό γίνεται για να δημιουργήσει μια ντετερμινιστική διάταξη σωρού, η οποία είναι σημαντική για την επιτυχή εκμετάλλευση.
Ταυτόχρονα, προσπαθείτε να χρησιμοποιήσετε μια τεχνική ψεκασμού σωρού που στοχεύει στην επαναχρησιμοποίηση του ίδιου δείκτη που είχε κυκλοφορήσει στο παρελθόν στο τμήμα UaF.
Αυτό το τέχνασμα θα μπορούσε να χρησιμοποιηθεί για να συγχέει και να δώσει στον εισβολέα τη δυνατότητα να λειτουργεί σε δύο διαφορετικά αντικείμενα (από άποψη JavaScript), παρόλο που στην πραγματικότητα βρίσκονται στην ίδια περιοχή μνήμης.
Η Google κυκλοφόρησε μια ενημέρωση Chrome το οποίο επιδιορθώνει το ελάττωμα στα Windows, macOS και Linux, και οι χρήστες ενθαρρύνονται να κάνουν ενημέρωση στην έκδοση Chrome 78.0.3904.87.