Dzięki podsystemowi Kaspersky Exploit Prevention w naszych produktach wykryliśmy niedawno exploit — szkodliwy program umożliwiający atakującym zdobycie nieautoryzowanego dostępu do komputera — wykorzystującego lukę w przeglądarce Google Chrome. Była to luka dnia zerowego, czyli taka, o której producenci nie mieli jeszcze pojęcia. Otrzymała ona identyfikator CVE-2019-13720.
Oczywiście zgłosiliśmy lukę firmie Google, która ją wyeliminowała poprzez udostępnienie najnowszej aktualizacji Chrome. Dziś opiszemy, jak przebiega atak wykorzystujący tę lukę.
WizardOpium: złe wieści z Korei
Ataki, które nazwano Operacją WizardOpium, rozpoczęły się od koreańskiej strony z informacjami, do której atakujący wstrzyknęli szkodliwy kod. Jego zadaniem było umieszczenie skryptu od innego podmiotu, który najpierw sprawdza, czy system można zainfekować, a także jakiej przeglądarki używa ofiara (cyberprzestępcy są zainteresowani tą dla systemu Windows, która jest w wersji wyższej niż 65).
Jeśli system operacyjny i przeglądarka spełniają oczekiwania atakujących, skrypt pobiera partiami exploita, a następnie składa go i szyfruje. W pierwszej kolejności exploit po raz kolejny sprawdza wersję Chrome’a. Na tym etapie staje się bardziej wybredny i interesuje go wyłącznie wersja 76 lub 77. Być może zestaw narzędzi cyberprzestępców zawiera inne exploity dla różnych wersji przeglądarki, jednak nie mamy co do tego 100% pewności.
Po zweryfikowaniu, że atak jest możliwy do przeprowadzenia, exploit próbuje wykorzystać tzw. błąd użycia po zwolnieniu pamięci CVE-2019-13720, polegający na niepoprawnym wykorzystywaniu pamięci komputera. Po zmanipulowaniu pamięci exploit uzyskuje uprawnienie odczytu i zapisu danych na urządzeniu, które natychmiast wykorzystuje do pobrania, szyfrowania i uruchomienia szkodliwego programu. Ten ostatni krok może się różnić w zależności od użytkownika.
Produkty firmy Kaspersky wykrywają exploita pod nazwą Exploit.Win32.Generic. Więcej informacji technicznych jest dostępne w serwisie Securelist.
Zaktualizuj swoją przeglądarkę Chrome
Nawet jeśli nie czytujesz koreańskich stron z informacjami, lepiej niezwłocznie zaktualizuj swoją przeglądarkę Chrome do wersji 78.0.3904.87. Wspomniany exploit już wykorzystuje tę lukę, a w jego ślady mogą pójść inne zagrożenia. Prawdopodobnie będziemy tego świadkami, gdy szczegółowe informacje na temat luki staną się dostępne za darmo.
Firma Google udostępniła aktualizację dla przeglądarki Chrome dla systemów: Windows, macOS i Linux. Przeglądarka powinna zaktualizować się automatycznie i wystarczy uruchomić ją ponownie.
Aby mieć absolutną pewność, sprawdź, czy aktualizacja została zainstalowana. W tym celu kliknij trzy pionowo ułożone kropki w prawym górnym rogu (Dostosowywanie i kontrolowanie Google Chrome) i wybierz Pomoc → Google Chrome — informacje. Jeśli zobaczysz numer wersji 78.0.3904.87 lub wyższy, aktualizacja się powiodła. W przeciwnym razie Chrome powinien zacząć wyszukiwanie dostępnych aktualizacji i zainstalować je (po lewej stronie zobaczysz kręcące się kółko), a po kilku sekundach na ekranie pojawi się informacja o najnowszej wersji. Teraz wystarczy kliknąć Uruchom ponownie.