Gần đây Kaspersky đã phát hiện ra một cách khai thác mới tận dụng một lỗ hổng chưa xác định trong Chrome, mà Google đã xác nhận có lỗ hổng zero-day trong trình duyệt của bạn và nó đã được xếp vào danh mục CVE-2019-13720.
Lỗ hổng này có thể bị khai thác bằng cách sử dụng một cuộc tấn công bằng cách sử dụng một mũi tiêm tương tự như một cuộc tấn công của "Lỗ tưới nước". Kiểu tấn công này ám chỉ loài săn mồi thay vì tìm kiếm con mồi, chúng thích đợi ở một nơi mà nó chắc chắn sẽ đến (trong trường hợp này là ở một điểm có nước để uống).
Kể từ khi cuộc tấn công được phát hiện trên một cổng thông tin bằng tiếng Hàn Quốc, trong đó mã JavaScript độc hại đã được chèn vào trang chính, đến lượt nó sẽ tải một tập lệnh cấu hình từ một trang web từ xa.
Một đoạn mã JavaScript nhỏ được đặt trong chỉ mục của trang web đã tải một tập lệnh từ xa từ code.jquery.cdn.behindcrown
Sau đó, tập lệnh sẽ tải một tập lệnh khác. Tập lệnh này kiểm tra xem hệ thống của nạn nhân có thể bị nhiễm hay không bằng cách so sánh với tác nhân người dùng của trình duyệt, tác nhân này phải đang chạy trên phiên bản Windows 64 bit chứ không phải là quá trình WOW64.
cũng cố gắng lấy tên và phiên bản của trình duyệt. Lỗ hổng cố gắng khai thác lỗi trong trình duyệt Google Chrome và tập lệnh sẽ kiểm tra xem phiên bản có lớn hơn hoặc bằng 65 hay không (phiên bản Chrome hiện tại là 78).
Phiên bản Chrome xác minh tập lệnh cấu hình. Nếu phiên bản trình duyệt được xác thực, tập lệnh bắt đầu thực hiện một loạt các yêu cầu AJAX trên máy chủ được kiểm soát của kẻ tấn công, nơi tên của một đường dẫn trỏ đến đối số được truyền tới tập lệnh.
Yêu cầu đầu tiên là cần thiết để biết thông tin quan trọng để sử dụng sau này. Thông tin này bao gồm nhiều chuỗi được mã hóa hex cho biết tập lệnh có bao nhiêu phần mã khai thác thực để tải xuống từ máy chủ, cũng như một URL tới tệp hình ảnh kết hợp một khóa để tải lên cuối cùng và một Khóa RC4 để giải mã các phần mã của khai thác.
Hầu hết các mã sử dụng các lớp khác nhau liên quan đến một thành phần trình duyệt dễ bị tấn công nhất định. Vì lỗi này vẫn chưa được sửa tại thời điểm viết bài, Kaspersky quyết định không đưa thông tin chi tiết về thành phần dễ bị tấn công cụ thể.
Có một số bảng lớn với các con số đại diện cho một khối shellcode và một hình ảnh PE được nhúng.
Sự khai thác đã sử dụng lỗi điều kiện cuộc đua giữa hai luồng do thiếu thời gian thích hợp trong số họ. Điều này mang lại cho kẻ tấn công một điều kiện sử dụng sau khi phát hành (UaF) rất nguy hiểm vì nó có thể dẫn đến các tình huống thực thi mã, đây chính xác là những gì xảy ra trong trường hợp này.
Việc khai thác đầu tiên cố gắng làm cho UaF mất thông tin quan trọng Địa chỉ 64-bit (giống như một con trỏ). Điều này dẫn đến một số điều:
- nếu một địa chỉ được tiết lộ thành công, điều đó có nghĩa là việc khai thác đang hoạt động bình thường
- một địa chỉ được tiết lộ được sử dụng để tìm ra vị trí của heap / stack và ghi đè kỹ thuật Ngẫu nhiên Định dạng Không gian Địa chỉ (ASLR)
- một số gợi ý hữu ích khác để khai thác thêm có thể được xác định bằng cách nhìn gần hướng này.
Sau đó, bạn cố gắng tạo một nhóm lớn các đối tượng bằng cách sử dụng một hàm đệ quy. Điều này được thực hiện để tạo ra một bố cục đống xác định, điều này rất quan trọng để khai thác thành công.
Đồng thời, bạn đang cố gắng sử dụng kỹ thuật phun đống nhằm mục đích sử dụng lại cùng một con trỏ đã được phát hành trước đó trong phần UaF.
Thủ thuật này có thể được sử dụng để gây nhầm lẫn và cung cấp cho kẻ tấn công khả năng hoạt động trên hai đối tượng khác nhau (theo quan điểm JavaScript), mặc dù chúng trên thực tế nằm trong cùng một vùng bộ nhớ.
Google đã phát hành bản cập nhật Chrome sửa lỗi trên Windows, macOS và Linux và người dùng được khuyến khích cập nhật lên phiên bản Chrome 78.0.3904.87.