Baru-baru ini, Kaspersky menemukan eksploitasi baru yang memanfaatkan cacat yang tidak diketahui di Chrome, yang telah dikonfirmasi oleh Google kerentanan zero-day di browser Anda dan itu sudah dikatalogkan sebagai CVE-2019-13720.
Kerentanan ini dapat dieksploitasi menggunakan serangan menggunakan suntikan yang mirip dengan serangan "Lubang Penyiraman". Jenis serangan ini mengacu pada predator yang, daripada mencari mangsa, lebih memilih menunggu di tempat yang dipastikan akan datang (dalam hal ini, di titik air untuk diminum).
Sejak serangan itu ditemukan di portal informasi dalam bahasa Korea, di mana kode JavaScript berbahaya telah dimasukkan ke dalam halaman utama, yang kemudian memuat skrip profil dari situs jarak jauh.
Sisipan kecil kode JavaScript ditempatkan di indeks halaman web yang memuat skrip jarak jauh dari kode.jquery.cdn.behindcorona
Skrip kemudian memuat skrip lain. Skrip ini memeriksa apakah sistem korban dapat terinfeksi dengan membuat perbandingan dengan agen pengguna browser, yang harus berjalan pada Windows versi 64-bit dan bukan proses WOW64.
juga coba dapatkan nama dan versi browser. Kerentanan mencoba mengeksploitasi bug di browser Google Chrome dan skrip memeriksa apakah versinya lebih besar dari atau sama dengan 65 (versi Chrome saat ini 78).
Versi Chrome memverifikasi skrip profil. Jika versi browser divalidasi, skrip mulai menjalankan serangkaian permintaan AJAX di server yang dikontrol penyerang, di mana nama jalur mengarah ke argumen yang diteruskan ke skrip.
Permintaan pertama diperlukan untuk informasi penting untuk digunakan nanti. Informasi ini mencakup beberapa string berenkode hex yang memberi tahu skrip berapa banyak potongan kode exploit aktual untuk diunduh dari server, serta URL ke file gambar yang menggabungkan kunci untuk unggahan akhir dan Kunci RC4 untuk mendekripsi potongan kode dari exploit tersebut.
Sebagian besar kode menggunakan berbagai kelas yang terkait dengan komponen browser rentan tertentu. Karena bug ini belum diperbaiki pada saat penulisan, Kaspersky memutuskan untuk tidak menyertakan detail tentang komponen rentan tertentu.
Ada beberapa tabel besar dengan angka yang mewakili blok shellcode dan gambar PE yang disematkan.
Eksploitasi menggunakan kesalahan kondisi balapan antara dua utas karena waktu yang kurang tepat diantara mereka. Hal ini memberi penyerang kondisi use-after-release (UaF) yang sangat berbahaya karena dapat menyebabkan skenario eksekusi kode, yang sebenarnya terjadi dalam kasus ini.
Eksploitasi pertama kali mencoba membuat UaF kehilangan informasi penting Alamat 64-bit (seperti pointer). Ini menghasilkan beberapa hal:
- jika alamat berhasil diungkapkan, itu berarti exploit tersebut berfungsi dengan baik
- alamat terungkap digunakan untuk mencari tahu di mana heap / stack berada dan yang menggantikan teknik Address Space Format Randomization (ASLR)
- beberapa petunjuk berguna lainnya untuk eksploitasi lebih lanjut dapat ditemukan dengan melihat dekat arah ini.
Setelah itu, Anda mencoba membuat sekelompok besar objek menggunakan fungsi rekursif. Ini dilakukan untuk membuat tata letak heap deterministik, yang penting untuk eksploitasi yang berhasil.
Pada saat yang sama, Anda mencoba menggunakan teknik penyemprotan heap yang bertujuan untuk menggunakan kembali penunjuk yang sama yang sebelumnya dirilis di bagian UaF.
Trik ini dapat digunakan untuk membingungkan dan memberi penyerang kemampuan untuk beroperasi pada dua objek berbeda (dari sudut pandang JavaScript), meskipun objek tersebut sebenarnya berada di wilayah memori yang sama.
Google telah merilis pembaruan Chrome yang memperbaiki cacat pada Windows, macOS, dan Linux, dan pengguna didorong untuk memperbarui ke Chrome versi 78.0.3904.87.