recientemente, Kaspersky, bilinmeyen bir kusurdan yararlanan yeni bir güvenlik açığı keşfetti Google'ın var olduğunu doğruladığı Chrome'da sıfır gün güvenlik açığı tarayıcınızda zaten şu şekilde listeleniyor: CVE-2019-13720.
Bu güvenlik açığı benzer bir enjeksiyon kullanan bir saldırı kullanılarak istismar edilebilir bir saldırı "Sulama deliği". Bu tür saldırı, av aramak yerine geleceğinden emin olduğu bir yerde (bu durumda içme suyu noktasında) beklemeyi tercih eden yırtıcı hayvanı ifade eder.
olarak Saldırı Kore dilindeki bir bilgi portalında keşfedildi, ana sayfaya kötü amaçlı JavaScript kodunun eklendiği ve bu kodun da uzak bir siteden bir profil oluşturma komut dosyası yüklediği.
Web sayfasının dizininde küçük bir JavaScript kodu eklentisi barındırıldı uzak bir komut dosyasını yükleyen code.jquery.cdn.behindcorona
Komut dosyası daha sonra başka bir komut dosyası yükler. Bu komut dosyası, tarayıcının Windows'un 64 bit sürümünde çalışması gereken ve bir WOW64 işlemi olmaması gereken kullanıcı aracısıyla bir karşılaştırma yaparak kurbanın sistemine virüs bulaşıp bulaşmadığını kontrol eder.
ayrıca tarayıcı adını ve sürümünü almayı deneyin. Güvenlik açığı, Google Chrome tarayıcısındaki hatadan yararlanmaya çalışır ve komut dosyası, sürümün 65'ten büyük veya ona eşit olup olmadığını kontrol eder (Chrome'un mevcut sürümü 78'dir).
Chrome sürümü profil oluşturma komut dosyasını kontrol eder. Tarayıcı sürümü doğrulanırsa komut dosyası bir dizi AJAX isteğini yürütmeye başlar Saldırganın kontrollü sunucusunda bir yol adı, betiğe iletilen bağımsız değişkeni gösterir.
İlk istek gerekli Daha sonra kullanmak üzere önemli bilgiler elde etmek için. Bu bilgiler, komut dosyasına sunucudan gerçek yararlanma kodunun kaç parçasının indirileceğini söyleyen birden fazla altıgen kodlu dizenin yanı sıra, son yükleme için bir anahtar ve kod parçalarının şifresini çözmek için bir RC4 anahtarı içeren görüntü dosyasının bir URL'sini içerir. istismarın.
Kodun çoğu belirli bir güvenlik açığına sahip tarayıcı bileşeniyle ilgili çeşitli sınıflar kullanır. Bu yazının yazıldığı sırada bu hata henüz düzeltilmediğinden Kaspersky, söz konusu savunmasız bileşenle ilgili ayrıntıları eklememeye karar verdi.
Bir kabuk kodu bloğunu ve gömülü bir PE görüntüsünü temsil eden sayıların yer aldığı bazı büyük tablolar vardır.
İstismar uygun senkronizasyon eksikliği nedeniyle iki iş parçacığı arasında kullanılan yarış durumu hatası aralarında. Bu, saldırgana çok tehlikeli bir serbest bırakma sonrası kullanım (UaF) koşulu sağlar çünkü kod yürütme senaryolarına yol açabilir, bu durumda da tam olarak olan budur.
Bu istismar ilk olarak UaF'nin önemli bilgileri kaybetmesine neden olmaya çalışıyor 64 bitlik adreslerden (işaretçi gibi) oluşur. Bunun sonucunda birkaç şey ortaya çıkar:
- Bir adres başarıyla ifşa edilirse bu, istismarın doğru şekilde çalıştığı anlamına gelir
- yığının/yığının nerede bulunduğunu bulmak için açıklanmış bir adres kullanılır ve bu, adres alanı formatı rastgeleleştirme (ASLR) tekniğini iptal eder
- Bu yöne yakın bir yere bakılarak daha fazla kullanıma yönelik diğer bazı yararlı göstergeler bulunabilir.
Bundan sonra özyinelemeli işlevi kullanarak büyük bir nesne grubu oluşturmaya çalışın. Bu, başarılı bir kullanım için önemli olan deterministik bir yığın tasarımı oluşturmak için yapılır.
Aynı zamanda UaF bölümünde daha önce yayımlanan işaretçinin aynısını yeniden kullanmayı amaçlayan yığın püskürtme tekniğini kullanmaya çalışıyorsunuz.
Bu hile, saldırganın kafasını karıştırmak ve aslında aynı bellek bölgesinde olsalar bile iki farklı nesne (JavaScript açısından) üzerinde işlem yapma yeteneği vermek için kullanılabilir.
Google Chrome güncellemesi yayınladı Windows, macOS ve Linux'taki kusuru gideren bu güncelleme, kullanıcıların Chrome'un 78.0.3904.87 sürümüne güncelleme yapmalarını öneriyor.