최근, Kaspersky는 알려지지 않은 결함을 이용하는 새로운 익스플로잇을 발견했습니다. Google이 확인한 Chrome에서 제로 데이 취약점 브라우저에서 이미 다음과 같이 분류되어 있습니다. CVE-2019-13720.
이 취약점 다음과 유사한 인젝션을 사용하는 공격을 통해 악용 될 수 있습니다. 공격 "물 구멍". 이러한 유형의 공격은 먹이를 찾는 대신 확실히 올 것이라고 확신하는 장소 (이 경우에는 물을 마실 수있는 지점)에서 기다리는 것을 선호하는 포식자를 가리 킵니다.
이후 한국어로 된 정보 포털에서 공격이 발견되었습니다., 악성 자바 스크립트 코드가 메인 페이지에 삽입되어 원격 사이트에서 프로파일 링 스크립트를로드합니다.
웹 페이지의 색인에 JavaScript 코드가 삽입되었습니다. 원격 스크립트를로드 한 code.jquery.cdn.behindcrown
그런 다음 스크립트는 다른 스크립트를로드합니다. 이 스크립트는 WOW64 프로세스가 아닌 64 비트 버전의 Windows에서 실행되어야하는 브라우저의 사용자 에이전트와 비교하여 피해자의 시스템이 감염 될 수 있는지 확인합니다.
또한 브라우저의 이름과 버전을 얻으십시오. 이 취약점은 Google Chrome 브라우저의 버그를 악용하려고 시도하고 스크립트는 버전이 65 이상 (현재 Chrome 버전은 78 임)인지 확인합니다.
Chrome 버전은 프로파일 링 스크립트를 확인합니다. 브라우저 버전의 유효성이 확인되면 스크립트가 일련의 AJAX 요청 실행을 시작합니다. 공격자가 제어하는 서버에서 경로 이름이 스크립트에 전달 된 인수를 가리 킵니다.
첫 번째 요청이 필요합니다 나중에 사용할 수 있도록 중요한 정보를 제공합니다. 이 정보에는 서버에서 다운로드 할 실제 익스플로잇 코드 청크 수를 스크립트에 알려주는 여러 개의 4 진 인코딩 문자열과 최종 업로드를위한 키와 해당 청크를 해독하는 RCXNUMX 키가 포함 된 이미지 파일의 URL이 포함됩니다. 악용의 코드.
대부분의 코드 취약한 특정 브라우저 구성 요소와 관련된 다양한 클래스를 사용합니다. 이 버그는 작성 당시 아직 수정되지 않았기 때문에 Kaspersky는 특정 취약한 구성 요소에 대한 세부 정보를 포함하지 않기로 결정했습니다.
쉘 코드 블록과 임베디드 PE 이미지를 나타내는 숫자가있는 큰 테이블이 있습니다.
익스플로잇 적절한 타이밍 부족으로 두 스레드간에 경쟁 조건 오류를 사용했습니다. 그들 중. 이는 공격자에게 매우 위험한 UaF (Use-After-Release) 조건을 제공합니다. 코드 실행 시나리오로 이어질 수 있기 때문입니다. 바로이 경우에 발생합니다.
익스플로잇은 먼저 UaF가 중요한 정보를 잃게 만들려고합니다. 64 비트 주소 (포인터와 유사). 그 결과 다음과 같은 여러 가지 결과가 발생합니다.
- 주소가 성공적으로 공개되면 익스플로잇이 제대로 작동하고 있음을 의미합니다.
- 공개 된 주소는 힙 / 스택이있는 위치를 찾는 데 사용되며 ASLR (Address Space Format Randomization) 기술을 재정의합니다.
- 이 방향 근처를 살펴보면 더 많은 악용을위한 다른 유용한 포인터를 찾을 수 있습니다.
그런 다음 재귀 함수를 사용하여 대규모 개체 그룹을 만들려고합니다. 이는 성공적인 악용에 중요한 결정적 힙 레이아웃을 만들기 위해 수행됩니다.
동시에 UaF 부분에서 이전에 릴리스 된 동일한 포인터를 재사용하는 것을 목표로하는 힙 스프레이 기술을 사용하려고합니다.
이 트릭은 공격자가 실제로 동일한 메모리 영역에 있더라도 두 개의 다른 객체 (자바 스크립트 관점에서)에서 작동 할 수있는 능력을 공격자에게 혼동시키고 제공하는 데 사용될 수 있습니다.
Google은 Chrome 업데이트를 출시했습니다. Windows, macOS 및 Linux의 결함을 수정하고 사용자는 Chrome 버전 78.0.3904.87로 업데이트하는 것이 좋습니다.