Google Chrome-nødopdatering udstedt for at imødegå 'høj sværhedsgrad' nul-dagsudnyttelse, der bruges aktivt i driftsguidenOpium
Udviklere af Google Chrome-webbrowseren udsendte en nødopdatering på Halloween. Opdateringen er beregnet til alle stabile versioner af den populære webbrowser på tværs af alle platforme, hvilket er en klar indikator for sværhedsgraden af opdateringen. Tilsyneladende er sikkerhedsopdateringen beregnet til at imødegå ikke en, men to sikkerhedssårbarheder. Hvad der mere vedrører er, at en af sikkerhedsfejlene har en nul-dages udnyttelse allerede i naturen.
Kaspersky Exploit Prevention, en aktiv komponent for trusselregistrering af Kaspersky-produkter, fik en ny ukendt udnyttelse til Googles Chrome-browser. Holdet rapporterede deres fund til Google Chrome-sikkerhedsteamet og inkluderede også et Proof of Concept (PoC). Efter en hurtig gennemgang var Google klart overbevist om, at der faktisk var en aktiv 0-dages sårbarhed i Google Chrome-webbrowseren. Efter hurtigt at eskalere problemet til højeste prioritet udstedte Google en nødopdatering til webbrowseren. Sikkerhedssårbarheden er blevet mærket som 'High Severity 0-Day Exploit' og påvirker alle de forskellige varianter af Chrome-browseren på tværs af alle de forskellige operativsystemer.
Kaspersky registrerer 'Exploit.Win32.Generic' 0-dages sårbarhed, der påvirker alle versioner af Google Chrome-browsere:
Google bekræftede på Halloween, at den "stabile kanal" Chrome-browser opdateres til version 78.0.3904.87 på tværs af Windows-, Mac- og Linux-platforme. I modsætning til de opdateringer, der begynder at blive rullet gradvist ud, skal den seneste opdatering have en ret hurtig implementering. Derfor er det afgørende, at Chrome-browserbrugere sikrer, at de installerer den seneste opdatering uden forsinkelse. I en temmelig kryptisk besked udsendte Google en rådgivning, der sagde,
“Adgang til bugdetaljer og links kan holdes begrænset, indtil et flertal af brugerne opdateres med en rettelse. Vi vil også bevare begrænsninger, hvis fejlen findes i et tredjepartsbibliotek, som andre projekter på lignende måde afhænger af, men som endnu ikke er rettet. "
https://twitter.com/TheHackersNews/status/1190201400279453697
Mens Google er temmelig usammenhængende med sikkerhedssårbarhederne i Chrome, har Kaspersky uofficielt navngivet angrebet 'Operation WizardOpium'. Teknisk set er angrebet en Exploit.Win32.Generic. Producenten af antivirus-, firewall- og andre netværkssikkerhedsprodukter undersøger stadig angrebets potentiale og identiteten på de cyberkriminelle, der muligvis har startet angrebet. Holdet hævder, at nogle af kodebjørne en vis lighed med Lazarus-angrebene, men intet er konstateret.
Ifølge Kaspersky ser det ud til, at angrebet udvinder så mange data som muligt ved at indlæse et ondsindet profileringsscript. Tilsyneladende blev 0-dages sårbarhed brugt til at injicere den ondsindede JavaScript-kode. Angrebet er ret sofistikeret som det udfører et antal kontroller for at sikre, at systemet kan inficeres, eller at det er sårbart. Først efter kvalifikationskontrollen fortsætter angrebet med at opnå den sande nyttelast og indsætte den samme.
Google anerkender Chrome Zero-Day-udnyttelse og udsteder nødopdatering for at imødegå trussel:
Google har bemærket, at udnyttelsen i øjeblikket findes i naturen. Virksomheden tilføjede, at udnyttelsen er til CVE-2019-13720-sårbarheden. Der er i øvrigt en anden sikkerhedssårbarhed, der er officielt tagget som CVE-2019-13721. Begge sikkerhedsfejl er "brug efter-fri" sårbarheder, der udnytter hukommelseskorruption for at eskalere privilegier på det angrebne system. Tilsyneladende CVE-2019-13720 sikkerhedssårbarhed udnyttes i naturen. Det påvirker angiveligt Chrome-webbrowserens lydkomponent.
I erkendelse af begge sikkerhedstrusler udstedte Google en nødopdatering til Chrome-browseren, men opdateringen ser ud til at være begrænset til den stabile kanal på nuværende tidspunkt. Opdateringen indeholder angiveligt kun patch til bugs. Kaspersky er aktivt involveret i at undersøge trusselrisikoen, men det er ikke umiddelbart klart, hvem der måske har udnyttet 0-dages sårbarheden.