Останнім часом Касперський виявив новий подвиг, який скористався невідомою вадою у Chrome, що Google підтвердив, що існує вразливість нульового дня у вашому браузері, і що він уже каталогізований як CVE-2019-13720.
Ця вразливість може бути використаний за допомогою атаки за допомогою ін’єкції, подібної до напад "Поливна дірка". Цей тип нападу відноситься до хижака, який замість того, щоб шукати здобич, вважає за краще чекати там, де впевнений, що вона прийде (у цьому випадку, у точці води, щоб випити).
З напад було виявлено на інформаційному порталі корейською мовою, в якому шкідливий код JavaScript було вставлено на головну сторінку, яка, у свою чергу, завантажує скрипт профілювання з віддаленого сайту.
Невелика вставка коду JavaScript розміщена в індексі веб-сторінки який завантажив віддалений скрипт з code.jquery.cdn.behindcrown
Потім сценарій завантажує інший сценарій. Цей скрипт перевіряє, чи може система жертви заразитися шляхом порівняння з користувальницьким агентом браузера, який повинен працювати в 64-розрядної версії Windows, а не бути процесом WOW64.
також спробуйте отримати назву та версію браузера. Уразливість намагається використати помилку у браузері Google Chrome, і скрипт перевіряє, чи версія перевищує чи дорівнює 65 (поточна версія Chrome - 78).
Версія Chrome перевіряє сценарій профілювання. Якщо версія браузера перевірена, сценарій починає виконувати серію запитів AJAX на контрольованому сервером зловмисника, де назва шляху вказує на аргумент, переданий сценарію.
Перший запит необхідний для отримання важливої інформації для подальшого використання. Ця інформація включає кілька шестнадцяткових кодованих рядків, які повідомляють сценарію, скільки фрагментів фактичного коду експлуатації завантажити з сервера, а також URL-адресу до файлу зображення, що містить ключ для остаточного завантаження та ключ RC4 для дешифрування фрагментів код. експлуатації.
Більша частина коду використовує різні класи, пов'язані з певним вразливим компонентом браузера. Оскільки ця помилка ще не була виправлена на момент написання статті, Касперський вирішив не включати подробиці про конкретний вразливий компонент.
Є кілька великих таблиць з номерами, що представляють блок оболонки коду та вбудований образ PE.
Подвиг використав помилку стану гонки між двома потоками через відсутність належного часу серед них. Це створює зловмисникові дуже небезпечну умову використання після випуску (UaF), оскільки це може призвести до сценаріїв виконання коду, що саме відбувається в цьому випадку.
Експлойт намагається спочатку змусити UaF втратити важливу інформацію 64-розрядна адреса (як вказівник). Це призводить до кількох речей:
- якщо адреса розкрита успішно, це означає, що експлойт працює належним чином
- розкрита адреса використовується, щоб з'ясувати, де знаходиться купа / стек, і що замінює техніку рандомізації формату адресного простору (ASLR)
- деякі інші корисні вказівники для подальшої експлуатації можна знайти, дивлячись поблизу цього напрямку.
Після цього ви намагаєтеся створити велику групу об’єктів за допомогою рекурсивної функції. Це робиться для створення детермінованого макета купи, що важливо для успішної експлуатації.
У той же час ви намагаєтесь використовувати техніку розпилення купи, яка має на меті повторно використовувати той самий вказівник, який раніше був випущений в частині UaF.
Цей фокус можна використати, щоб заплутати та надати зловмисникові можливість оперувати двома різними об’єктами (з точки зору JavaScript), навіть якщо вони фактично знаходяться в одній області пам'яті.
Google випустив оновлення для Chrome який виправляє недолік у Windows, macOS та Linux, а користувачам пропонується оновити до версії Chrome 78.0.3904.87.