nylig, Kaspersky oppdaget en ny utnyttelse som utnyttet en ukjent feil i Chrome, som Google har bekreftet at det er en null-dagers sårbarhet i nettleseren din og at den allerede er katalogisert som CVE-2019-13720.
Denne sårbarheten kan utnyttes ved hjelp av et angrep med en injeksjon som ligner på et angrep av "Vannhull". Denne typen angrep refererer til et rovdyr som, i stedet for å lete etter byttedyr, foretrekker å vente et sted der det er sikkert det vil komme (i dette tilfellet, i et punkt med vann å drikke).
som angrepet ble oppdaget på en informasjonsportal på koreansk, der ondsinnet JavaScript-kode er blitt satt inn på hovedsiden, som igjen laster et profilskript fra et eksternt nettsted.
Et lite innlegg med JavaScript-kode ble plassert i indeksen til websiden som lastet et eksternt skript fra code.jquery.cdn.behindcrown
Skriptet laster deretter inn et nytt skript. Dette skriptet sjekker om offerets system kan infiseres ved å gjøre en sammenligning med nettleserens brukeragent, som må kjøre på en 64-biters versjon av Windows og ikke være en WOW64-prosess.
Også prøv å få navnet og versjonen av nettleseren. Sårbarheten prøver å utnytte feilen i Google Chrome-nettleseren, og skriptet sjekker om versjonen er større enn eller lik 65 (den nåværende versjonen av Chrome er 78).
Chrome-versjonen verifiserer profilskriptet. Hvis nettleserversjonen er validert, begynner skriptet å utføre en serie AJAX-forespørsler på angriperens kontrollerte server, der navnet på en bane peker mot argumentet som sendes til skriptet.
Den første forespørselen er nødvendig for viktig informasjon for senere bruk. Denne informasjonen inkluderer flere heksekodede strenger som forteller skriptet hvor mange biter av den faktiske utnyttelseskoden som skal lastes ned fra serveren, samt en URL til bildefilen som inneholder en nøkkel for den endelige opplastingen og en RC4-nøkkel for å dekryptere biter av kode. av utnyttelsen.
Det meste av koden bruker forskjellige klasser relatert til en bestemt sårbar nettleserkomponent. Siden denne feilen ennå ikke var løst i skrivende stund, bestemte Kaspersky seg for ikke å ta med detaljer om den spesifikke sårbare komponenten.
Det er noen store tabeller med tall som representerer en shellcode-blokk og et innebygd PE-bilde.
Utnyttelsen brukte en løpstilstandsfeil mellom to tråder på grunn av manglende riktig timing blant dem. Dette gir angriperen en veldig farlig tilstand etter bruk etter frigjøring (UaF) fordi det kan føre til kodeutførelsesscenarier, som er nøyaktig hva som skjer i dette tilfellet.
Utnyttelsen prøver først å få UaF til å miste viktig informasjon 64-biters adresse (som en peker). Dette resulterer i flere ting:
- hvis en adresse er avslørt med hell, betyr det at utnyttelsen fungerer som den skal
- en avslørt adresse brukes til å finne ut hvor bunken / stakken er plassert og som tilsidesetter Address Space Format Randomization (ASLR) -teknikken
- noen andre nyttige tips for videre utnyttelse kan bli funnet ved å se nær denne retningen.
Etter det prøver du å lage en stor gruppe objekter ved hjelp av en rekursiv funksjon. Dette gjøres for å skape et deterministisk haugelayout, som er viktig for vellykket utnyttelse.
Samtidig prøver du å bruke en dyngsprøyteteknikk som tar sikte på å gjenbruke den samme pekeren som tidligere ble utgitt i UaF-delen.
Dette trikset kan brukes til å forvirre og gi angriperen muligheten til å operere på to forskjellige objekter (fra et JavaScript-synspunkt), selv om de faktisk er i samme minneområde.
Google har gitt ut en Chrome-oppdatering som løser feilen på Windows, macOS og Linux, og brukere oppfordres til å oppdatere til Chrome-versjon 78.0.3904.87.