Ostatnio Kaspersky odkrył nowy exploit, który wykorzystał nieznaną lukę w przeglądarce Chrome, o której Google potwierdziło luka typu zero-day w przeglądarce i że jest już skatalogowany jako CVE-2019-13720.
Ta luka można wykorzystać za pomocą ataku przy użyciu zastrzyku podobnego do atak „Podlewanie”. Ten rodzaj ataku odnosi się do drapieżnika, który zamiast szukać zdobyczy woli czekać w miejscu, w którym na pewno nadejdzie (w tym przypadku w punkcie z wodą do picia).
Od atak został wykryty na portalu informacyjnym w języku koreańskim, w którym złośliwy kod JavaScript został wstawiony do strony głównej, co z kolei ładuje skrypt profilujący ze zdalnej witryny.
Mała wstawka kodu JavaScript została umieszczona w indeksie strony internetowej który załadował zdalny skrypt z kod.jquery.cdn.za koroną
Następnie skrypt ładuje inny skrypt. Ten skrypt sprawdza, czy system ofiary może zostać zainfekowany, porównując go z agentem użytkownika przeglądarki, który musi działać w 64-bitowej wersji systemu Windows i nie może być procesem WOW64.
również spróbuj uzyskać nazwę i wersję przeglądarki. Luka próbuje wykorzystać błąd w przeglądarce Google Chrome, a skrypt sprawdza, czy wersja jest większa lub równa 65 (aktualna wersja Chrome to 78).
Wersja Chrome weryfikuje skrypt profilujący. Jeśli wersja przeglądarki zostanie sprawdzona, skrypt rozpocznie wykonywanie serii żądań AJAX na serwerze kontrolowanym przez atakującego, gdzie nazwa ścieżki wskazuje na argument przekazany do skryptu.
Konieczne jest pierwsze żądanie w celu uzyskania ważnych informacji do późniejszego wykorzystania. Informacje te obejmują wiele ciągów kodowanych szesnastkowo, które informują skrypt, ile fragmentów rzeczywistego kodu exploita należy pobrać z serwera, a także adres URL do pliku obrazu, który zawiera klucz do ostatecznego przesłania i klucz RC4 do odszyfrowania fragmentów kod exploita.
Większość kodu używa różnych klas związanych z pewnym podatnym na ataki komponentem przeglądarki. Ponieważ ten błąd nie został jeszcze naprawiony w momencie pisania tego tekstu, Kaspersky zdecydował się nie podawać szczegółów dotyczących konkretnego podatnego na ataki komponentu.
Istnieje kilka dużych tabel z liczbami reprezentującymi blok kodu szelkowego i osadzony obraz PE.
Exploit użył błędu warunku wyścigu między dwoma wątkami z powodu braku odpowiedniego czasu pomiędzy nimi. Daje to atakującemu bardzo niebezpieczny stan użycia po wydaniu (UaF), ponieważ może prowadzić do scenariuszy wykonania kodu, co dokładnie dzieje się w tym przypadku.
Exploit najpierw próbuje spowodować utratę ważnych informacji przez UaF Adres 64-bitowy (jak wskaźnik). Powoduje to kilka rzeczy:
- jeśli adres zostanie pomyślnie ujawniony, oznacza to, że exploit działa poprawnie
- ujawniony adres służy do ustalenia, gdzie znajduje się sterta / stos i zastępuje technikę Randomizacji formatu przestrzeni adresowej (ASLR)
- Patrząc blisko tego kierunku, można by znaleźć inne przydatne wskazówki do dalszej eksploatacji.
Następnie spróbuj utworzyć dużą grupę obiektów za pomocą funkcji rekurencyjnej. Ma to na celu stworzenie deterministycznego układu sterty, co jest ważne dla pomyślnej eksploatacji.
Jednocześnie próbujesz użyć techniki rozpylania sterty, która ma na celu ponowne użycie tego samego wskaźnika, który został wcześniej wydany w części UaF.
Ta sztuczka może zostać użyta do zmylenia i umożliwienia atakującemu operowania na dwóch różnych obiektach (z punktu widzenia JavaScript), nawet jeśli w rzeczywistości znajdują się one w tym samym regionie pamięci.
Firma Google wydała aktualizację Chrome który naprawia lukę w systemach Windows, macOS i Linux, a użytkownicy są zachęcani do aktualizacji do wersji Chrome 78.0.3904.87.