v poslednej dobe, Spoločnosť Kaspersky objavila nové zneužitie, ktoré využilo neznámu chybu v prehliadači Chrome, ktorý spoločnosť Google potvrdila, že existuje zraniteľnosť nulového dňa vo vašom prehliadači a že je už katalogizovaný ako CVE-2019-13720.
Táto zraniteľnosť možno zneužiť pomocou útoku pomocou injekcie podobnej ako útok z "Zavlažovací otvor". Tento typ útoku sa týka predátora, ktorý namiesto hľadania koristi radšej počká na mieste, kde si je istý, že príde (v tomto prípade v mieste na pitie s vodou).
ako útok bol objavený na informačnom portáli v kórejčine, v ktorom bol na hlavnú stránku vložený škodlivý kód JavaScript, ktorý následne načíta profilovací skript zo vzdialenej stránky.
V indexe webovej stránky bola umiestnená malá vložka kódu JavaScript ktorý načítal vzdialený skript z code.jquery.cdn.behindcrown
Skript potom načíta ďalší skript. Tento skript porovnaním s používateľským agentom prehliadača, ktorý musí byť spustený v 64-bitovej verzii systému Windows a nesmie ísť o proces WOW64, kontroluje, či môže byť infikovaný systém obete.
tiež skúste získať názov a verziu prehľadávača. Táto chyba sa pokúša zneužiť chybu v prehliadači Google Chrome a skript skontroluje, či je verzia vyššia alebo rovná 65 (aktuálna verzia prehliadača Chrome je 78).
Verzia Chrome overuje profilovací skript. Ak je verzia prehliadača overená, skript začne vykonávať sériu požiadaviek AJAX na serveri kontrolovanom útočníkom, kde názov cesty smeruje na argument odovzdaný skriptu.
Prvá požiadavka je nevyhnutná dôležité informácie pre ďalšie použitie. Tieto informácie zahŕňajú niekoľko reťazcov kódovaných hexadecimálne, ktoré skriptu povedia, koľko častí skutočného kódu na zneužitie sa má stiahnuť zo servera, ako aj adresa URL obrazového súboru, ktorá obsahuje kľúč na konečné nahranie a kľúč RC4 na dešifrovanie častí kód zneužitia.
Väčšina kódu používa rôzne triedy súvisiace s určitou zraniteľnou súčasťou prehliadača. Pretože táto chyba ešte v čase písania článku nebola opravená, spoločnosť Kaspersky sa rozhodla nezahrnúť podrobnosti o konkrétnej zraniteľnej súčasti.
Existuje niekoľko veľkých tabuliek s číslami, ktoré predstavujú blok mušľového kódu a vložený obrázok PE.
Vykorisťovanie použil chybu medzi dvoma vláknami kvôli nesprávnemu načasovaniu medzi nimi. To dáva útočníkovi veľmi nebezpečnú podmienku po použití (UaF), pretože môže viesť k scenárom vykonania kódu, čo sa v tomto prípade stane presne.
Využitie sa najskôr snaží dosiahnuť, aby UaF stratila dôležité informácie 64-bitová adresa (ako ukazovateľ). Výsledkom je niekoľko vecí:
- ak je adresa zverejnená úspešne, znamená to, že zneužitie funguje správne
- odhalená adresa sa používa na zistenie, kde sa nachádza halda / zásobník a ktorá má prednosť pred technikou náhodného formátu formátu ASLR (Address Space Format Randomization).
- niektoré ďalšie užitočné ukazovatele na ďalšie využitie možno nájsť pri pohľade týmto smerom.
Potom sa pokúsite vytvoriť veľkú skupinu objektov pomocou rekurzívnej funkcie. Toto sa deje s cieľom vytvoriť deterministické rozloženie haldy, ktoré je dôležité pre úspešné využitie.
Zároveň sa pokúšate použiť techniku striekania haldy, ktorej cieľom je opätovné použitie rovnakého ukazovateľa, ktorý bol predtým vydaný v časti UaF.
Tento trik by sa dal použiť na zmätenie a poskytnutie útočníkovi schopnosť pracovať s dvoma rôznymi objektmi (z pohľadu JavaScriptu), aj keď sú v skutočnosti v rovnakej oblasti pamäte.
Spoločnosť Google vydala aktualizáciu prehliadača Chrome ktorá opravuje chybu v systémoch Windows, macOS a Linux a používateľom sa odporúča aktualizovať na verziu Chrome 78.0.3904.87.