Recentemente, Kaspersky ha scoperto un nuovo exploit che ha sfruttato un difetto sconosciuto in Chrome, che Google ha confermato che ci sia una vulnerabilità zero-day nel tuo browser e che è già catalogato come CVE-2019-13720.
Questa vulnerabilità può essere sfruttato usando un attacco usando un'iniezione simile a un attacco di "Abbeveratoio". Questo tipo di attacco fa riferimento ad un predatore che, invece di cercare la preda, preferisce aspettare in un luogo dove è sicuro che arriverà (in questo caso, in un punto d'acqua da bere).
Come l'attacco è stato scoperto su un portale di informazioni in coreano, in cui è stato inserito codice JavaScript dannoso nella pagina principale, che a sua volta carica uno script di profilazione da un sito remoto.
Un piccolo inserto di codice JavaScript è stato ospitato nell'indice della pagina web che ha caricato uno script remoto da code.jquery.cdn.behindcrown
Lo script quindi carica un altro script. Questo script controlla se il sistema della vittima può essere infettato facendo un confronto con l'agente utente del browser, che deve essere in esecuzione su una versione a 64 bit di Windows e non essere un processo WOW64.
anche prova a ottenere il nome e la versione del browser. La vulnerabilità cerca di sfruttare il bug nel browser Google Chrome e lo script controlla se la versione è maggiore o uguale a 65 (la versione corrente di Chrome è 78).
La versione di Chrome verifica lo script di profilazione. Se la versione del browser viene convalidata, lo script avvia l'esecuzione di una serie di richieste AJAX sul server controllato dall'aggressore, dove il nome di un percorso punta all'argomento passato allo script.
La prima richiesta è necessaria per informazioni importanti per un uso successivo. Queste informazioni includono più stringhe codificate in esadecimale che indicano allo script quanti blocchi del codice exploit effettivo scaricare dal server, nonché un URL del file immagine che incorpora una chiave per il caricamento finale e una chiave RC4 per decrittografare blocchi di codice dell'exploit.
La maggior parte del codice utilizza varie classi relative a un determinato componente del browser vulnerabile. Poiché questo bug non era stato ancora risolto al momento della scrittura, Kaspersky ha deciso di non includere dettagli sullo specifico componente vulnerabile.
Ci sono alcune tabelle di grandi dimensioni con numeri che rappresentano un blocco di codice shell e un'immagine PE incorporata.
L'exploit ha utilizzato un errore di condizione di competizione tra due thread a causa della mancanza di tempismo corretto tra loro. Ciò conferisce all'autore dell'attacco una condizione di utilizzo dopo il rilascio (UaF) molto pericolosa perché può portare a scenari di esecuzione del codice, che è esattamente ciò che accade in questo caso.
L'exploit cerca prima di far perdere a UaF informazioni importanti Indirizzo a 64 bit (come un puntatore). Ciò si traduce in diverse cose:
- se un indirizzo viene divulgato con successo, significa che l'exploit funziona correttamente
- un indirizzo rivelato viene utilizzato per scoprire dove si trova l'heap / stack e che sostituisce la tecnica ASLR (Address Space Format Randomization)
- altri utili suggerimenti per un ulteriore sfruttamento potrebbero essere individuati guardando vicino a questa direzione.
Successivamente, si tenta di creare un grande gruppo di oggetti utilizzando una funzione ricorsiva. Questo viene fatto per creare un layout heap deterministico, che è importante per lo sfruttamento corretto.
Allo stesso tempo, stai tentando di utilizzare una tecnica di spruzzatura dell'heap che mira a riutilizzare lo stesso puntatore che è stato precedentemente rilasciato nella parte UaF.
Questo trucco potrebbe essere utilizzato per confondere e dare all'aggressore la possibilità di operare su due oggetti diversi (dal punto di vista di JavaScript), anche se in realtà si trovano nella stessa regione di memoria.
Google ha rilasciato un aggiornamento di Chrome che risolve il difetto su Windows, macOS e Linux e gli utenti sono incoraggiati ad aggiornare alla versione di Chrome 78.0.3904.87.