GOOGLE CHROME – Un nou bug zero-day identificat în atacurile active
Dragi cititori, dacă utilizați Google Chrome pe computerele voastre cu sisteme de operare Windows, Mac și Linux, trebuie să actualizați de îndată software-ul de navigare web cu cea mai recentă versiune Google lansată în decursul acestei săptămâni.
Odată cu lansarea Google Chrome 78.0.3904.87, Google avertizează miliarde de utilizatori să instaleze imediat o actualizare a software-ului, pentru a remedia două vulnerabilități de înaltă severitate, una dintre acestea fiind o portiță pentru atacatori să exploateze activ computerele și să le deturneze.
Fără să dezvăluie detalii tehnice despre vulnerabilitate, echipa de securitate Chrome a afirmat doar faptul că ambele probleme sunt vulnerabilități de tipul use-after-free, cunoscute drept încercări de accesare a memoriei imediat după ce aceasta a fost golită. Acest aspect poate cauza un program să se blocheze sau chiar să execute cod arbitrar de la distanță. Una dintre cele două probleme afectează componenta audio Chrome (CVE-2019-13720), în timp ce cealaltă se află în biblioteca PDFium (CVE-2019-13721).
Vulnerabilitatea use-after-free este o clasă de probleme de corupție a memoriei care permite alterarea datelor din memorie, oferindu-i posibilitatea unui utilizator neprotejat să escaladeze privilegiile pe un sistem sau un software afectat. Astfel, ambele defecte ar putea permite atacatorilor să obțină, de la distanță, privilegii asupra browserului web Chrome doar convingând utilizatorii vizați să viziteze un site web rău intenționat, permițându-le să scape de protecții pentru sandbox și să ruleze coduri rău arbitrare pe sistemele targetate.
Bug-ul Zero-Day al Google Chrome identificat în atacurile active
Descoperită și raportată de cercetătorii din cadrul companiei Kaspersky, respectiv Anton Ivanov și Alexey Kulaev, problema componentelor audio din aplicația Chrome a fost identificată ca fiind exploatată, deși în acest moment nu este clar ce grup de hackeri a stat în spatele acestor activități.
Echipa de securitate din cadrul companiei Google este la curent cu rapoartele conform cărora există o exploatare pentru CVE-2019-13720. Accesul la detaliile și legăturile bug-urilor poate fi restricționat până când majoritatea utilizatorilor sunt actualizați cu o soluție. De asemenea, se vor păstra restricții în cazul în care există într-o bibliotecă terță de care depind în mod similar alte proiecte, dar care nu au fost încă rezolvate.
Vulnerabilitatea use-after-free este una dintre cele mai frecvente probleme descoperite și soluționate în browserul web Chrome din ultimele luni. Cu puțin peste o lună în urmă, compania Google a lansat o actualizare urgentă de securitate pentru Chrome, pentru a corela un număr de patru vulnerabilități care nu sunt folosite în diferite componente ale browserului web, dintre care cea mai severă ar putea permite hackerilor să preia controlul de la distanță asupra unui sistem afectat.
În luna martie a acestui an, compania Google a lansat, de asemenea, o actualizare de securitate de urgență pentru Chrome, după ce au fost identificate abateri care exploatau în mod activ o vulnerabilitate similară de utilizare a zero-day use-after-free care afectează componenta FileReader a browserului.
Detalii tehnice privind exploatarea vulnerabilității zero-day a Chrome
La o zi după ce Google a lansat o actualizare de corecție de urgență pentru browserul Chrome, în vederea remedierii a celor două vulnerabilități de înaltă severitate, firma de securitate cibernetică Kaspersky Labs a dezvăluit mai multe detalii tehnice despre cea pe care a raportat-o către Google și care a fost observată ca fiind exploatată.
Potrivit cercetătorilor, atacatorii au compromis un portal de știri în limba coreeană. Aceștia au introdus codul de exploatare în site, precum un watering-hole, pentru a compromite computerele vizitatorilor săi, deschizând portalul de știri folosind versiuni vulnerabile ale Google Chrome.
Se pare că exploitul instalează malware-ul din prima etapă pe sistemele vizate după exploatarea vulnerabilității Chrome (CVE-2019-19720), care apoi se conectează la un server de comandă și control de la distanță pentru a descărca payload-ul final.
Numită operațiunea WizardOpium de către cercetătorii în domeniul securității cibernetice, atacul nu a fost încă atribuit niciunui grup specific de hackeri. Cu toate acestea, cercetătorii au descoperit unele similitudini în codul de exploatare cu infamul grup de hackeri denumit Lazarus. Profilul site-ului vizat este mai în concordanță cu atacurile anterioare ale grupului DarkHotel, cunoscut datorită implementării recente a atacurilor similare.
Toate detaliile tehnice cu privire la modalitatea de producere a atacului sunt regăsite într-un raport expus public de compania rusească de securitate cibernetică Kaspersky.
Patch disponibil – actualizați imediat versiunea Google Chrome
Pentru a remedia ambele vulnerabilități de securitate, compania Google a lansat deja versiunea Chrome 78.0.3904.87 pentru sistemele de operare Windows, Mac și Linux. Deși browserul web Chrome notifică automat utilizatorii despre cea mai recentă versiune disponibilă, acestora li se recomandă să declanșeze manual procesul de actualizare, accesând Ajutor –> Despre Google Chrome din meniu.
Pe lângă acest lucru, utilizatorilor Chrome li se recomandă, de asemenea, să ruleze toate software-urile de pe sistemele lor, ori de câte ori este posibil, drept un utilizator fără privilegii, în încercarea de a diminua efectele atacurilor cu succes care exploatează orice vulnerabilitate de tip zero-day.
