kohët e fundit, Kaspersky zbuloi një shfrytëzim të ri që përfitoi nga një e metë e panjohur në Chrome, gjë që Google ka konfirmuar se ekziston një dobësi e ditës zero në shfletuesin tuaj dhe se tashmë është kataloguar si CVE-2019-13720
Kjo dobësi mund të shfrytëzohet duke përdorur një sulm duke përdorur një injeksion të ngjashëm me një sulm i "Vrima e ujitjes". Ky lloj sulmi i referohet një grabitqari që, në vend që të kërkojë gjah, preferon të presë në një vend ku është i sigurt se do të vijë (në këtë rast, në një pikë uji për të pirë).
si sulmi u zbulua në një portal informacioni në gjuhën koreane, në të cilin është futur kodi i dëmshëm JavaScript në faqen kryesore, e cila nga ana tjetër ngarkon një skenar profilizimi nga një sit i largët.
Një insert i vogël i kodit JavaScript ishte vendosur në indeksin e faqes në internet i cili ngarkoi një skenar të largët nga kod.pyetje.cdn.behindcorona
Skenari ngarkon një skenar tjetër. Ky skript kontrollon nëse sistemi i viktimës mund të infektohet duke bërë një krahasim me agjentin e përdoruesit të shfletuesit, i cili duhet të ekzekutohet në një version 64-bit të Windows dhe të mos jetë një proces WOW64.
edhe përpiquni të merrni emrin dhe versionin e shfletuesit. Dobësia mundohet të shfrytëzojë defektin në shfletuesin Google Chrome dhe skenari kontrollon nëse versioni është më i madh ose i barabartë me 65 (versioni aktual i Chrome është 78).
Versioni Chrome verifikon skenarin e profilizimit. Nëse versioni i shfletuesit është i vërtetuar, skripti fillon të ekzekutojë një seri kërkesash AJAX në serverin e kontrolluar të sulmuesit, ku emri i një rruge tregon argumentin e kaluar në skenar.
Kërkesa e parë është e nevojshme për informacion të rëndësishëm për përdorim të mëvonshëm. Ky informacion përfshin vargje të shumta të koduara magji që i tregojnë skriptit se sa pjesë të kodit aktual të shfrytëzimit për të shkarkuar nga serveri, si dhe një URL në skedarin e imazhit që përfshin një çelës për ngarkimin përfundimtar dhe një Çelës RC4 për të deshifruar copa të kodi i shfrytëzimit.
Shumica e kodit përdor klasa të ndryshme që lidhen me një përbërës të caktuar të shfletuesit të prekshëm. Meqenëse ky defekt nuk ishte rregulluar ende në kohën e shkrimit, Kaspersky vendosi të mos përfshinte detaje rreth përbërësit specifik të prekshëm.
Ka disa tabela të mëdha me numra që përfaqësojnë një bllok shellcode dhe një imazh PE të ngulitur.
Shfrytëzimi përdori një gabim të kushtit të garës midis dy fijeve për shkak të mungesës së kohës së duhur midis tyre. Kjo i jep sulmuesit një gjendje shumë të rrezikshme përdorimi pas-lëshimit (UaF) sepse mund të çojë në skenarë të ekzekutimit të kodit, e cila është pikërisht ajo që ndodh në këtë rast.
Shfrytëzimi së pari përpiqet të bëjë që UaF të humbasë informacion të rëndësishëm Adresa 64-bit (si një tregues). Kjo rezulton në disa gjëra:
- nëse një adresë zbulohet me sukses, kjo do të thotë që shfrytëzimi po funksionon si duhet
- një adresë e zbuluar përdoret për të gjetur se ku ndodhet grumbulli / pirgu dhe që tejkalon teknikën e Randomizimit të Formatit të Hapësirës së Adresës (ASLR)
- disa tregues të tjerë të dobishëm për shfrytëzim të mëtejshëm mund të gjenden duke parë pranë këtij drejtimi.
Pas kësaj, ju përpiqeni të krijoni një grup të madh objektesh duke përdorur një funksion rekursiv. Kjo është bërë për të krijuar një plan urbanistik përcaktues, i cili është i rëndësishëm për shfrytëzimin e suksesshëm.
Në të njëjtën kohë, ju jeni duke u përpjekur të përdorni një teknikë të spërkatjes së grumbujve që synon të ripërdorë të njëjtin tregues që ishte lëshuar më parë në pjesën UaF.
Ky hile mund të përdoret për të hutuar dhe për t'i dhënë sulmuesit aftësinë për të vepruar në dy objekte të ndryshme (nga një këndvështrim JavaScript), edhe pse ato janë në të vërtetë në të njëjtin rajon të kujtesës.
Google ka lëshuar një azhurnim të Chrome i cili rregullon defektin në Windows, macOS dhe Linux dhe përdoruesit inkurajohen të azhurnojnë në versionin Chrome 78.0.3904.87.