nyligen, Kaspersky upptäckte ett nytt utnyttjande som utnyttjade en okänd brist i Chrome, vilket Google har bekräftat att det finns en nolldagars sårbarhet i din webbläsare och att den redan är katalogiserad som CVE-2019 till 13720.
Denna sårbarhet kan utnyttjas med en attack med en injektion som liknar en attack av "Vattenhål". Denna typ av attack hänvisar till ett rovdjur som i stället för att leta efter byte föredrar att vänta på en plats där det är säkert att det kommer (i det här fallet i en punkt med vatten att dricka).
som attacken upptäcktes på en informationsportal på koreanska, där skadlig JavaScript-kod har infogats på huvudsidan, som i sin tur laddar ett profilskript från en fjärransluten webbplats.
En liten infogning av JavaScript-kod var inrymd i indexet på webbsidan som laddade ett fjärrskript från code.jquery.cdn.behindcrown
Skriptet laddar sedan in ett annat skript. Det här skriptet kontrollerar om offrets system kan infekteras genom att göra en jämförelse med webbläsarens användaragent, som måste köras på en 64-bitarsversion av Windows och inte vara en WOW64-process.
också försök att få webbläsarens namn och version. Sårbarheten försöker utnyttja felet i webbläsaren Google Chrome och manuset kontrollerar om versionen är större än eller lika med 65 (den nuvarande versionen av Chrome är 78).
Chrome-versionen verifierar profilskriptet. Om webbläsarversionen valideras börjar skriptet att köra en serie AJAX-förfrågningar på angriparens kontrollerade server, där namnet på en sökväg pekar på argumentet som skickas till skriptet.
Den första begäran är nödvändig för viktig information för senare användning. Denna information innehåller flera hex-kodade strängar som berättar för skriptet hur många bitar av den faktiska exploateringskoden som ska laddas ner från servern, samt en URL till bildfilen som innehåller en nyckel för den slutliga uppladdningen och en RC4-nyckel för att dekryptera bitar kod. för exploateringen.
Det mesta av koden använder olika klasser relaterade till en viss sårbar webbläsarkomponent. Eftersom detta fel ännu inte hade rättats i skrivande stund bestämde Kaspersky att inte inkludera detaljer om den specifika sårbara komponenten.
Det finns några stora tabeller med siffror som representerar ett skalkodsblock och en inbäddad PE-bild.
Utnyttjandet använde ett tävlingsfel mellan två trådar på grund av brist på korrekt timing bland dem. Detta ger angriparen ett mycket farligt tillstånd efter användning (UaF) eftersom det kan leda till kodkörningsscenarier, vilket är exakt vad som händer i det här fallet.
Utnyttjandet försöker först få UaF att förlora viktig information 64-bitars adress (som en pekare). Detta resulterar i flera saker:
- om en adress avslöjas framgångsrikt betyder det att exploateringen fungerar som den ska
- en avslöjd adress används för att ta reda på var högen / stacken finns och som åsidosätter ASLR-tekniken (Address Space Format Randomization)
- några andra användbara tips för ytterligare exploatering kan lokaliseras genom att titta nära denna riktning.
Därefter försöker du skapa en stor grupp objekt med en rekursiv funktion. Detta görs för att skapa en deterministisk höglayout, vilket är viktigt för framgångsrik exploatering.
Samtidigt försöker du använda en högsprutningsteknik som syftar till att återanvända samma pekare som tidigare släpptes i UaF-delen.
Detta trick kan användas för att förvirra och ge angriparen möjlighet att arbeta på två olika objekt (ur JavaScript-synvinkel), även om de faktiskt befinner sig i samma minnesregion.
Google har släppt en Chrome-uppdatering vilket åtgärdar felet på Windows, macOS och Linux, och användarna uppmuntras att uppgradera till Chrome version 78.0.3904.87.