Эксперты «Лаборатории Касперского» обнаружили серьезную ошибку нулевого дня в браузере Chrome. Уязвимость позволяет злоумышленникам выполнить вредоносный код, используя недостаток use-after-free в одном из компонентов интернет-обозревателя.

Киберпреступники уже взяли баг на вооружение и эксплуатируют его в кампании, получившей название Operation WizardOpium. Разработчики Google залатали уязвимость в свежей версии Chrome для Windows, macOS и Linux.

Недостаток нашли в ходе анализа ранее неизвестного эксплойта, зафиксированного антивирусными сканерами «Лаборатории Касперского». Программа распространяется через вредоносную инъекцию на одном из корейских новостных порталов и представляет собой JavaScript-сценарий, загружаемый с подконтрольного киберпреступникам сервера.

Сценарий атаки Operation WizardOpium через 0-day в Chrome

Первоначальный загрузчик проверяет наличие на компьютере браузера Chrome и отправляет командному центру ряд AJAX-запросов на загрузку зашифрованных частей зловреда. Компоненты собираются в один файл на целевом устройстве и распаковываются при помощи RC4-ключа, также полученного с C&C-сервера. Итоговый код эксплойта представляет собой готовый к использованию обфусцированный скрипт на языке JavaScript.

Как выяснили эксперты «Лаборатории Касперского», зловред использует ошибку состояния гонки, вызванную недостаточной синхронизацией между двумя процессами в браузере. Из соображений безопасности они не называют уязвимую подсистему, но из бюллетеня безопасности Google понятно, что речь идет об одном из модулей, связанном с обработкой аудио. Эксплуатация недостатка приводит к состоянию use-after-free и возможности выполнения стороннего кода.

Вредоносная программа пытается определить указатели некоторых 64-разрядных адресов памяти и использовать эти сведения для обхода рандомизации размещения адресного пространства (ASLR). Эксплойт выполняет многочисленные операции с памятью, что наряду с другими методами позволяет злоумышленникам получить произвольный примитив чтения/записи. В результате атакующие создают специальный объект для WebAssembly и FileReader в среде браузера, который запрашивает полезную нагрузку с командного сервера.

Актуальная безопасная версия Chrome

Разработчики Google выпустили внеочередную версию браузера, чтобы исправить уязвимость, зарегистрированную как CVE-2019-13720. ИБ-специалисты рекомендуют пользователям Chrome как можно быстрее обновить его до версии 78.0.3904.87.

Предыдущая сборка обозревателя увидела свет 22 октября этого года. Плановое обновление включало в себя патчи для 37 уязвимостей, а также новые функции безопасности, запущенные в тестовом режиме. Так, разработчики Chrome приступили к испытанию службы предупреждения о компрометации паролей Password Leak Detection.

Категории: Главное, Уязвимости