Эксперты «Лаборатории Касперского» обнаружили серьезную ошибку нулевого дня в браузере Chrome. Уязвимость позволяет злоумышленникам выполнить вредоносный код, используя недостаток use-after-free в одном из компонентов интернет-обозревателя.
Киберпреступники уже взяли баг на вооружение и эксплуатируют его в кампании, получившей название Operation WizardOpium. Разработчики Google залатали уязвимость в свежей версии Chrome для Windows, macOS и Linux.
Недостаток нашли в ходе анализа ранее неизвестного эксплойта, зафиксированного антивирусными сканерами «Лаборатории Касперского». Программа распространяется через вредоносную инъекцию на одном из корейских новостных порталов и представляет собой JavaScript-сценарий, загружаемый с подконтрольного киберпреступникам сервера.
Как выяснили эксперты «Лаборатории Касперского», зловред использует ошибку состояния гонки, вызванную недостаточной синхронизацией между двумя процессами в браузере. Из соображений безопасности они не называют уязвимую подсистему, но из бюллетеня безопасности Google понятно, что речь идет об одном из модулей, связанном с обработкой аудио. Эксплуатация недостатка приводит к состоянию use-after-free и возможности выполнения стороннего кода.
Вредоносная программа пытается определить указатели некоторых 64-разрядных адресов памяти и использовать эти сведения для обхода рандомизации размещения адресного пространства (ASLR). Эксплойт выполняет многочисленные операции с памятью, что наряду с другими методами позволяет злоумышленникам получить произвольный примитив чтения/записи. В результате атакующие создают специальный объект для WebAssembly и FileReader в среде браузера, который запрашивает полезную нагрузку с командного сервера.
Предыдущая сборка обозревателя увидела свет 22 октября этого года. Плановое обновление включало в себя патчи для 37 уязвимостей, а также новые функции безопасности, запущенные в тестовом режиме. Так, разработчики Chrome приступили к испытанию службы предупреждения о компрометации паролей Password Leak Detection.
Киберпреступники уже взяли баг на вооружение и эксплуатируют его в кампании, получившей название Operation WizardOpium. Разработчики Google залатали уязвимость в свежей версии Chrome для Windows, macOS и Linux.
Недостаток нашли в ходе анализа ранее неизвестного эксплойта, зафиксированного антивирусными сканерами «Лаборатории Касперского». Программа распространяется через вредоносную инъекцию на одном из корейских новостных порталов и представляет собой JavaScript-сценарий, загружаемый с подконтрольного киберпреступникам сервера.
Сценарий атаки Operation WizardOpium через 0-day в Chrome
Первоначальный загрузчик проверяет наличие на компьютере браузера Chrome и отправляет командному центру ряд AJAX-запросов на загрузку зашифрованных частей зловреда. Компоненты собираются в один файл на целевом устройстве и распаковываются при помощи RC4-ключа, также полученного с C&C-сервера. Итоговый код эксплойта представляет собой готовый к использованию обфусцированный скрипт на языке JavaScript.Как выяснили эксперты «Лаборатории Касперского», зловред использует ошибку состояния гонки, вызванную недостаточной синхронизацией между двумя процессами в браузере. Из соображений безопасности они не называют уязвимую подсистему, но из бюллетеня безопасности Google понятно, что речь идет об одном из модулей, связанном с обработкой аудио. Эксплуатация недостатка приводит к состоянию use-after-free и возможности выполнения стороннего кода.
Вредоносная программа пытается определить указатели некоторых 64-разрядных адресов памяти и использовать эти сведения для обхода рандомизации размещения адресного пространства (ASLR). Эксплойт выполняет многочисленные операции с памятью, что наряду с другими методами позволяет злоумышленникам получить произвольный примитив чтения/записи. В результате атакующие создают специальный объект для WebAssembly и FileReader в среде браузера, который запрашивает полезную нагрузку с командного сервера.
Актуальная безопасная версия Chrome
Разработчики Google выпустили внеочередную версию браузера, чтобы исправить уязвимость, зарегистрированную как CVE-2019-13720. ИБ-специалисты рекомендуют пользователям Chrome как можно быстрее обновить его до версии 78.0.3904.87.Предыдущая сборка обозревателя увидела свет 22 октября этого года. Плановое обновление включало в себя патчи для 37 уязвимостей, а также новые функции безопасности, запущенные в тестовом режиме. Так, разработчики Chrome приступили к испытанию службы предупреждения о компрометации паролей Password Leak Detection.
- Источник новости
- https://threatpost.ru/