اخیرا کسپرسکی بهره برداری جدیدی را کشف کرد که از نقص ناشناخته ای بهره می برد در Chrome ، که گوگل وجود آن را تأیید کرده است یک آسیب پذیری روز صفر در مرورگر شما و اینکه قبلاً به عنوان فهرست شده است CVE-2019-13720.
این آسیب پذیری می توان با استفاده از حمله با استفاده از تزریق مشابه حمله به "سوراخ آبیاری". این نوع حمله به درنده ای اطلاق می شود كه به جای جستجوی طعمه ، ترجیح می دهد در جایی صبر كند كه مطمئن باشد كه خواهد آمد (در این حالت ، در یك نقطه آب برای نوشیدن).
از آنجا این حمله در یک درگاه اطلاعاتی به زبان کره ای کشف شد، که در آن کد مخرب JavaScript به صفحه اصلی وارد شده است ، که به نوبه خود یک اسکریپت پروفایل را از یک سایت از راه دور بارگیری می کند.
درج کوچکی از کد جاوا اسکریپت در فهرست صفحه وب قرار گرفت که یک اسکریپت از راه دور را از بارگیری کرد code.jquery.cdn.behindcrown
سپس اسکریپت اسکریپت دیگری را بارگیری می کند. این اسکریپت بررسی می کند که آیا سیستم قربانی با مقایسه با عامل کاربر مرورگر ، که باید در نسخه 64 بیتی ویندوز اجرا شود و فرآیند WOW64 نباشد ، به سیستم قربانی آلوده شده است.
همچنین سعی کنید نام و نسخه مرورگر را بدست آورید. این آسیب پذیری سعی در سو theاستفاده از اشکال موجود در مرورگر Google Chrome دارد و اسکریپت بررسی می کند که آیا این نسخه از 65 بزرگتر است یا برابر آن (نسخه فعلی Chrome 78 است).
نسخه Chrome اسکریپت پروفایل را تأیید می کند. اگر نسخه مرورگر تأیید شود ، اسکریپت شروع به اجرای یک سری درخواست های AJAX می کند در سرور کنترل شده توسط مهاجم ، جایی که نام یک مسیر به آرگومان منتقل شده به اسکریپت اشاره دارد.
اولین درخواست لازم است برای اطلاعات مهم برای استفاده بعدی این اطلاعات شامل چندین رشته رمزگذاری شده hex است که به اسکریپت می گوید چند بخش از کد بهره برداری واقعی را می توان از سرور بارگیری کرد ، همچنین یک URL برای فایل تصویر دارد که یک کلید برای بارگذاری نهایی و یک کلید RC4 برای رمزگشایی قطعات از جمله کد بهره برداری
بیشتر کد از کلاسهای مختلف مربوط به یک م browserلفه آسیب پذیر خاص مرورگر استفاده می کند. از آنجا که این اشکال در زمان نگارش هنوز برطرف نشده بود ، کسپرسکی تصمیم گرفت جزئیاتی راجع به م specificلفه آسیب پذیر خاص وارد نکند.
چند جدول بزرگ وجود دارد که اعداد نشان دهنده یک بلوک کد پوسته و یک تصویر PE تعبیه شده است.
بهره برداری به دلیل عدم زمان بندی مناسب ، از یک خطای شرایط مسابقه بین دو رشته استفاده کرده است در میان آنها این به مهاجم شرایط استفاده بسیار خطرناک پس از انتشار (UaF) را می دهد زیرا می تواند به سناریوهای اجرای کد منجر شود ، دقیقاً همان اتفاقی که در این حالت می افتد.
بهره برداری ابتدا سعی می کند UaF اطلاعات مهم را از دست بدهد آدرس 64 بیتی (مانند یک اشاره گر). این منجر به چندین چیز می شود:
- اگر آدرسی با موفقیت افشا شود ، به این معنی است که بهره برداری به درستی کار می کند
- یک آدرس آشکار شده برای پیدا کردن مکان heap / stack استفاده می شود و این تکنیک آدرس تصادفی سازی قالب فضای آدرس (ASLR) را نادیده می گیرد
- برخی از اشاره گرهای مفید دیگر برای بهره برداری بیشتر می توانند با نگاهی به این جهت پیدا شوند.
پس از آن ، سعی می کنید گروه بزرگی از اشیا using را با استفاده از یک تابع بازگشتی ایجاد کنید. این کار برای ایجاد یک طرح انبوه قطعی ، که برای بهره برداری موفقیت آمیز مهم است ، انجام می شود.
در عین حال ، شما در حال استفاده از تکنیک پاشش انبوه هستید که هدف آن استفاده مجدد از همان اشاره گر است که قبلاً در قسمت UaF منتشر شده بود.
این ترفند می تواند برای اشتباه گرفتن و ایجاد توانایی در حمله به دو مهاجم مختلف (از دیدگاه جاوا اسکریپت) به کار رود ، حتی اگر در واقع در یک منطقه حافظه باشند.
Google به روزرسانی Chrome را منتشر کرده است که این نقص موجود در ویندوز ، macOS و Linux را برطرف می کند و به کاربران توصیه می شود که به نسخه 78.0.3904.87 Chrome به روز شوند.
اولین کسی باشید که نظر