onlangs, Kaspersky ontdekte een nieuwe exploit die profiteerde van een onbekende fout in Chrome, wat Google heeft bevestigd dat het is een zero-day kwetsbaarheid in uw browser en dat het al is gecatalogiseerd als CVE-2019-13720.
Deze kwetsbaarheid kan worden misbruikt met behulp van een aanval met een injectie vergelijkbaar met een aanval van "Afvoer" Dit type aanval verwijst naar een roofdier dat, in plaats van op zoek te gaan naar een prooi, liever wacht op een plaats waar het zeker zal komen (in dit geval op een punt met water om te drinken).
als de aanval werd ontdekt op een informatieportaal in het Koreaans, waarin kwaadaardige JavaScript-code is ingevoegd in de hoofdpagina, die op zijn beurt een profileringscript van een externe site laadt.
Een klein stukje JavaScript-code was ondergebracht in de index van de webpagina die een extern script heeft geladen van code.jquery.cdn.behindcrown
Het script laadt vervolgens een ander script. Dit script controleert of het systeem van het slachtoffer geïnfecteerd kan zijn door een vergelijking te maken met de user-agent van de browser, die op een 64-bits versie van Windows moet draaien en geen WOW64-proces moet zijn.
ook probeer de naam en versie van de browser te achterhalen. De kwetsbaarheid probeert de bug in de Google Chrome-browser te misbruiken en het script controleert of de versie groter is dan of gelijk is aan 65 (de huidige versie van Chrome is 78).
Chrome-versie verifieert profileringsscript. Als de browserversie is gevalideerd, begint het script met het uitvoeren van een reeks AJAX-verzoeken op de door de aanvaller gecontroleerde server, waar de naam van een pad verwijst naar het argument dat aan het script is doorgegeven.
Het eerste verzoek is noodzakelijk voor belangrijke informatie voor later gebruik. Deze informatie omvat meerdere hex-gecodeerde strings die het script vertellen hoeveel stukjes van de daadwerkelijke exploitcode moeten worden gedownload van de server, evenals een URL naar het afbeeldingsbestand met een sleutel voor de uiteindelijke upload en een RC4-sleutel om stukjes van te ontsleutelen. code van de exploit.
De meeste code gebruikt verschillende klassen die verband houden met een bepaalde kwetsbare browsercomponent. Aangezien deze bug op het moment van schrijven nog niet was opgelost, besloot Kaspersky geen details over het specifieke kwetsbare onderdeel op te nemen.
Er zijn enkele grote tabellen met getallen die een shellcodeblok en een ingesloten PE-afbeelding vertegenwoordigen.
De exploit gebruikte een race condition error tussen twee threads vanwege een gebrek aan de juiste timing onder hen. Dit geeft de aanvaller een zeer gevaarlijke use-after-release (UaF) -conditie omdat dit kan leiden tot code-uitvoeringsscenario's, en dat is precies wat er in dit geval gebeurt.
De exploit probeert eerst om UaF belangrijke informatie te laten verliezen 64-bits adres (zoals een aanwijzer). Dit resulteert in verschillende dingen:
- als een adres met succes is vrijgegeven, betekent dit dat de exploit correct werkt
- een onthuld adres wordt gebruikt om erachter te komen waar de heap / stack zich bevindt en dat overschrijft de Address Space Format Randomization (ASLR) -techniek
- enkele andere nuttige aanwijzingen voor verdere exploitatie zouden kunnen worden gevonden door in deze richting te kijken.
Daarna probeer je met een recursieve functie een grote groep objecten te maken. Dit wordt gedaan om een deterministische heaplay-out te creëren, wat belangrijk is voor succesvolle exploitatie.
Tegelijkertijd probeert u een heap-spraying-techniek te gebruiken die erop gericht is dezelfde aanwijzer te hergebruiken die eerder in het UaF-gedeelte werd uitgebracht.
Deze truc kan worden gebruikt om te verwarren en de aanvaller de mogelijkheid te geven om op twee verschillende objecten te werken (vanuit een JavaScript-oogpunt), ook al bevinden ze zich in feite in hetzelfde geheugengebied.
Google heeft een Chrome-update uitgebracht die het probleem op Windows, macOS en Linux verhelpt, en gebruikers worden aangemoedigd om te updaten naar Chrome-versie 78.0.3904.87.