Hiljuti Kaspersky avastas uue ärakasutamise, mis kasutas ära tundmatut viga Chrome'is, mille olemasolu Google on kinnitanud nullipäevane haavatavus brauseris ja et see on juba kataloogi CVE-2019-13720.
See haavatavus saab rünnaku abil ära kasutada sarnase süstiga rünnak "Ava kastmine". Seda tüüpi rünnak viitab kiskjale, kes eelistab saagi otsimise asemel oodata kohas, kus on kindel, et see tuleb (antud juhul joogiveepunktis).
Alates sellest ajast rünnak avastati koreakeelsest infoportaalist, milles pealehele on sisestatud pahatahtlik JavaScripti kood, mis omakorda laadib kaugsaidilt profileerimise skripti.
Veebilehe registrisse mahtus väike JavaScripti koodi sisestus mis laadis kaugskripti code.jquery.cdn.becorona
Seejärel laadib skript teise skripti. See skript kontrollib, kas ohvri süsteem võib olla nakatunud, tehes võrdluse brauseri kasutajaagendiga, mis peab töötama Windowsi 64-bitises versioonis ja olema mitte WOW64 protsess.
ka proovige hankida brauseri nimi ja versioon. Haavatavus üritab ära kasutada Google Chrome'i brauseri viga ja skript kontrollib, kas versioon on suurem või võrdne 65 (Chrome'i praegune versioon on 78).
Chrome'i versioon kinnitab profileerimise skripti. Kui brauseri versioon on valideeritud, hakkab skript täitma AJAX-i päringute sarja ründaja juhitavas serveris, kus tee nimi osutab skriptile edastatud argumendile.
Esimene taotlus on vajalik olulise teabe saamiseks hilisemaks kasutamiseks. See teave sisaldab mitut kuueteistkümnendkohaga kodeeritud stringi, mis annavad skriptile teada, mitu tükki tegelikust kasutuskoodist serverist alla laadida, samuti pildifaili URL-i, mis sisaldab võtme lõpliku üleslaadimise jaoks ja RC4-võtit kooditükkide dekrüptimiseks ära kasutada.
Suurem osa koodist kasutab erinevaid klassi, mis on seotud teatud haavatava brauseri komponendiga. Kuna seda viga polnud kirjutamise ajal veel parandatud, otsustas Kaspersky konkreetse haavatava komponendi üksikasju mitte lisada.
Seal on mõned suured tabelid numbritega, mis tähistavad koorekoodiplokki ja manustatud PE-pilti.
Kasutada kasutas kahe lõime vahel võistlusolukorra viga õige ajastuse puudumise tõttu nende hulgas. See annab ründajale väga ohtliku kasutusjärgse kasutuse (UaF) tingimuse, kuna see võib viia koodi täitmise stsenaariumideni, mis just sel juhul juhtub.
Ekspluatatsioon üritab kõigepealt panna UaF-i olulise teabe kaotama 64-bitine aadress (nagu osuti). Selle tulemuseks on mitu asja:
- kui aadressi avalikustatakse edukalt, tähendab see, et ekspluateerimine töötab korralikult
- paljastavat aadressi kasutatakse, et teada saada, kus hunnik / virn asub ja mis alistab aadressiruumi vormingu juhuslikkuse (ASLR) tehnika
- selle suuna lähedale vaadates võiks leida veel mõningaid kasulikke näpunäiteid edasiseks kasutamiseks.
Pärast seda proovite rekursiivse funktsiooni abil luua suure hulga objekte. Seda tehakse deterministliku kuhja kujunduse loomiseks, mis on eduka ekspluateerimise jaoks oluline.
Samal ajal proovite kasutada kuhjaga pritsimise tehnikat, mille eesmärk on taaskasutada sama kursorit, mis oli varem välja antud UaF-i osas.
Seda nippi võiks kasutada segadusse ajamiseks ja ründajale võimaluse opereerimiseks kahel erineval objektil (JavaScripti vaatenurgast), kuigi need asuvad tegelikult samas mälupiirkonnas.
Google on välja andnud Chrome'i värskenduse mis parandab vea Windowsis, macOS-is ja Linuxis ning kasutajatel soovitatakse värskendada Chrome'i versioonile 78.0.3904.87.