recent, Kaspersky a descoperit un nou exploat care a profitat de un defect necunoscut în Chrome, ceea ce Google a confirmat că există o vulnerabilitate de zero zile în browserul dvs. și că este deja catalogat ca CVE-2019 la 13720.
Această vulnerabilitate poate fi exploatat folosind un atac folosind o injecție similară cu un atac de "Gaura de udare". Acest tip de atac se referă la un prădător care, în loc să caute pradă, preferă să aștepte într-un loc unde este sigur că va veni (în acest caz, într-un punct de apă de băut).
ca atacul a fost descoperit pe un portal de informații în coreeană, în care codul JavaScript rău intenționat a fost inserat în pagina principală, care, la rândul său, încarcă un script de profilare de pe un site la distanță.
O mică inserție de cod JavaScript a fost găzduită în indexul paginii web care a încărcat un script la distanță de la code.jquery.cdn.behindcrown
Scriptul încarcă apoi un alt script. Acest script verifică dacă sistemul victimei poate fi infectat făcând o comparație cu agentul de utilizator al browserului, care trebuie să ruleze pe o versiune pe 64 de biți de Windows și să nu fie un proces WOW64.
de asemenea încercați să obțineți numele și versiunea browserului. Vulnerabilitatea încearcă să exploateze eroarea din browserul Google Chrome și scriptul verifică dacă versiunea este mai mare sau egală cu 65 (versiunea actuală a Chrome este 78).
Versiunea Chrome verifică scriptul de profilare. Dacă versiunea browserului este validată, scriptul începe să execute o serie de cereri AJAX pe serverul controlat de atacator, unde numele unei căi indică argumentul transmis scriptului.
Prima cerere este necesară pentru informații importante pentru utilizare ulterioară. Aceste informații includ mai multe șiruri codate hexagonal care indică scriptului câte bucăți din codul de exploatare real de descărcat de pe server, precum și un URL către fișierul imagine care încorporează o cheie pentru încărcarea finală și o cheie RC4 pentru a decripta bucăți de codul exploatării.
Majoritatea codului folosește diverse clase legate de o anumită componentă vulnerabilă a browserului. Întrucât acest bug nu fusese încă rezolvat în momentul scrierii, Kaspersky a decis să nu includă detalii despre componenta vulnerabilă specifică.
Există câteva tabele mari cu numere care reprezintă un bloc shellcode și o imagine PE încorporată.
Exploatarea a folosit o eroare de condiție de cursă între două fire din cauza lipsei unui timp adecvat printre ei. Acest lucru oferă atacatorului o condiție foarte periculoasă de utilizare după eliberare (UaF), deoarece poate duce la scenarii de execuție a codului, ceea ce se întâmplă exact în acest caz.
Exploatarea încearcă mai întâi să facă UaF să piardă informații importante Adresa pe 64 de biți (ca pointer). Acest lucru are ca rezultat mai multe lucruri:
- dacă o adresă este dezvăluită cu succes, înseamnă că exploatarea funcționează corect
- o adresă dezvăluită este utilizată pentru a afla unde se află grămada / stiva și care suprascrie tehnica ASLR
- unele alte indicații utile pentru exploatare ulterioară ar putea fi localizate privind în apropierea acestei direcții.
După aceea, încercați să creați un grup mare de obiecte folosind o funcție recursivă. Acest lucru se face pentru a crea un aspect deterministic, care este important pentru exploatarea cu succes.
În același timp, încercați să utilizați o tehnică de pulverizare a heap-ului care are ca scop reutilizarea aceluiași indicator care a fost lansat anterior în partea UaF.
Acest truc ar putea fi folosit pentru a confunda și a oferi atacatorului posibilitatea de a opera pe două obiecte diferite (din punct de vedere JavaScript), chiar dacă acestea sunt, de fapt, în aceeași regiune de memorie.
Google a lansat o actualizare Chrome care remediază defectele din Windows, MacOS și Linux, iar utilizatorii sunt încurajați să actualizeze versiunea Chrome 78.0.3904.87.