Baru-baru ini Kaspersky menemui eksploitasi baru yang memanfaatkan kekurangan yang tidak diketahui di Chrome, yang telah disahkan oleh Google kerentanan sifar-hari dalam penyemak imbas anda dan sudah dikatalogkan sebagai CVE-2019-13720.
Kerentanan ini boleh dieksploitasi menggunakan serangan menggunakan suntikan yang serupa dengan serangan dari "Lubang Penyiraman". Jenis serangan ini merujuk kepada pemangsa yang, bukannya mencari mangsa, lebih suka menunggu di tempat di mana ia pasti akan datang (dalam kes ini, di titik air untuk diminum).
Sejak itu serangan itu ditemui di sebuah portal maklumat dalam bahasa Korea, di mana kod JavaScript berbahaya telah dimasukkan ke dalam halaman utama, yang pada gilirannya memuat skrip profil dari laman web terpencil.
Sebilangan kecil kod JavaScript diletakkan di indeks halaman web yang memuatkan skrip jauh dari code.jquery.cdn.behindcrown
Skrip kemudian memuatkan skrip yang lain. Skrip ini memeriksa apakah sistem mangsa dapat dijangkiti dengan membuat perbandingan dengan ejen pengguna penyemak imbas, yang mesti dijalankan pada Windows versi 64-bit dan bukan proses WOW64.
juga cuba dapatkan nama dan versi penyemak imbas. Kerentanan cuba mengeksploitasi bug dalam penyemak imbas Google Chrome dan skrip memeriksa apakah versi lebih besar daripada atau sama dengan 65 (versi Chrome saat ini adalah 78).
Versi Chrome mengesahkan skrip profil. Sekiranya versi penyemak imbas disahkan, skrip mula menjalankan serangkaian permintaan AJAX pada pelayan terkawal penyerang, di mana nama jalan menunjukkan argumen yang dihantar ke skrip.
Permintaan pertama adalah perlu untuk maklumat penting untuk kegunaan kemudian. Maklumat ini merangkumi beberapa rentetan dikodkan hex yang memberitahu skrip berapa banyak kod eksploit sebenar untuk dimuat turun dari pelayan, serta URL ke fail gambar yang memasukkan kunci untuk muat naik terakhir dan Kunci RC4 untuk menyahsulit potongan kod. eksploitasi.
Sebahagian besar kod menggunakan pelbagai kelas yang berkaitan dengan komponen penyemak imbas yang rentan tertentu. Oleh kerana bug ini belum diperbaiki pada saat penulisan, Kaspersky memutuskan untuk tidak memasukkan perincian mengenai komponen rentan tertentu.
Terdapat beberapa jadual besar dengan nombor yang mewakili blok kod shell dan gambar PE tertanam.
Eksploitasi menggunakan kesalahan keadaan perlumbaan antara dua utas kerana kekurangan masa yang tepat antaranya. Ini memberi penyerang keadaan penggunaan selepas pembebasan (UaF) yang sangat berbahaya kerana ia boleh menyebabkan senario pelaksanaan kod, yang sebenarnya berlaku dalam kes ini.
Eksploitasi pertama kali cuba membuat UaF kehilangan maklumat penting Alamat 64-bit (seperti penunjuk). Ini menghasilkan beberapa perkara:
- jika alamat berjaya didedahkan, ini bermaksud bahawa eksploitasi berfungsi dengan baik
- alamat yang dinyatakan digunakan untuk mengetahui di mana timbunan / timbunan itu berada dan yang menimpa teknik Randomization Format Ruang Alamat (ASLR)
- beberapa petunjuk berguna lain untuk eksploitasi lebih lanjut dapat dilihat dengan melihat arah ini.
Selepas itu, anda cuba membuat sekumpulan besar objek menggunakan fungsi rekursif. Ini dilakukan untuk membuat susun atur deterministik, yang penting untuk kejayaan eksploitasi.
Pada masa yang sama, anda berusaha menggunakan teknik penyemburan timbunan yang bertujuan untuk menggunakan kembali penunjuk yang sama yang sebelumnya dilepaskan di bahagian UaF.
Silap mata ini dapat digunakan untuk mengelirukan dan memberi penyerang kemampuan untuk beroperasi pada dua objek yang berbeda (dari sudut pandang JavaScript), walaupun mereka sebenarnya berada di kawasan memori yang sama.
Google telah mengeluarkan kemas kini Chrome yang memperbaiki kekurangan pada Windows, macOS, dan Linux, dan pengguna digalakkan untuk mengemas kini ke Chrome versi 78.0.3904.87.