Bản cập nhật khẩn cấp của Google Chrome được phát hành để chống lại hành vi khai thác trong ngày không có "mức độ nghiêm trọng cao" được chủ động sử dụng trong trình hướng dẫn hoạt độngOpium
Các nhà phát triển của trình duyệt web Google Chrome đã phát hành một bản cập nhật khẩn cấp vào Halloween. Bản cập nhật dành cho tất cả các phiên bản ổn định của trình duyệt web phổ biến trên tất cả các nền tảng, đây là một chỉ báo rõ ràng về mức độ nghiêm trọng của bản cập nhật. Rõ ràng, bản cập nhật bảo mật nhằm mục đích chống lại không phải một mà là hai lỗ hổng bảo mật. Điều đáng quan tâm hơn là một trong những lỗi bảo mật có khai thác zero-day trong tự nhiên đã.
Kaspersky Exploit Prevention, một thành phần phát hiện mối đe dọa đang hoạt động của các sản phẩm Kaspersky đã bắt được một hành vi khai thác chưa xác định mới cho trình duyệt Chrome của Google. Nhóm đã báo cáo phát hiện của họ cho nhóm bảo mật của Google Chrome và cũng bao gồm Bằng chứng về khái niệm (PoC). Sau khi xem xét nhanh, Google rõ ràng tin rằng thực sự có một lỗ hổng 0-Day đang hoạt động tồn tại trong trình duyệt web Google Chrome. Sau khi nhanh chóng chuyển vấn đề lên mức ưu tiên cao nhất, Google đã phát hành một bản cập nhật khẩn cấp cho trình duyệt web. Lỗ hổng bảo mật đã được gắn thẻ là 'Khai thác 0 ngày ở mức độ nghiêm trọng cao' và ảnh hưởng đến tất cả các biến thể khác nhau của trình duyệt Chrome trên tất cả các hệ điều hành khác nhau.
Kaspersky phát hiện lỗ hổng trong 0 ngày ‘Exploit.Win32.Generic’ ảnh hưởng đến tất cả các phiên bản trình duyệt Google Chrome:
Google đã xác nhận vào Halloween rằng trình duyệt Chrome trên máy tính để bàn “kênh ổn định” đang được cập nhật lên phiên bản 78.0.3904.87 trên các nền tảng Windows, Mac và Linux. Không giống như các bản cập nhật bắt đầu được tung ra dần dần, bản cập nhật mới nhất phải được triển khai khá nhanh. Do đó, điều quan trọng là người dùng trình duyệt Chrome đảm bảo họ cài đặt bản cập nhật mới nhất mà không bị chậm trễ. Trong một thông báo khá khó hiểu, Google đã đưa ra một lời khuyên rằng:
“Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi. Chúng tôi cũng sẽ giữ lại các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác phụ thuộc vào tương tự nhưng chưa được khắc phục. "
https://twitter.com/TheHackersNews/status/1190201400279453697
Trong khi Google tỏ ra khá thiếu chặt chẽ về các lỗ hổng bảo mật trong Chrome, Kaspersky đã đặt tên không chính thức cho cuộc tấn công là 'Operation WizardOpium'. Về mặt kỹ thuật, cuộc tấn công là một Exploit.Win32.Generic. Nhà sản xuất phần mềm chống vi-rút, tường lửa và các sản phẩm an ninh mạng khác vẫn đang khám phá khả năng xảy ra cuộc tấn công và danh tính của những kẻ tội phạm mạng có thể đã thực hiện cuộc tấn công. Nhóm xác nhận một số mã mang một số điểm tương đồng với các cuộc tấn công của Lazarus, nhưng không có gì là chắc chắn.
Theo Kaspersky, cuộc tấn công dường như khai thác càng nhiều dữ liệu càng tốt bằng cách tải một tập lệnh cấu hình độc hại. Rõ ràng, lỗ hổng 0-Day đã được sử dụng để đưa mã JavaScript độc hại vào. Cuộc tấn công khá tinh vi vì nó thực hiện một số kiểm tra để đảm bảo hệ thống có thể bị nhiễm hoặc hệ thống dễ bị tấn công. Chỉ sau khi kiểm tra đủ điều kiện, cuộc tấn công mới tiến hành để có được tải trọng thực sự và triển khai như cũ.
Google xác nhận việc khai thác Chrome trong 0 ngày và phát hành bản cập nhật khẩn cấp để chống lại mối đe dọa:
Google đã lưu ý rằng việc khai thác hiện đang tồn tại trong tự nhiên. Công ty nói thêm rằng việc khai thác là cho lỗ hổng CVE-2019-13720. Ngẫu nhiên, có một lỗ hổng bảo mật khác, đã được chính thức gắn thẻ là CVE-2019-13721. Cả hai lỗ hổng bảo mật đều là lỗ hổng “use-after-free”, khai thác sự cố hỏng bộ nhớ để nâng cao đặc quyền trên hệ thống bị tấn công. Rõ ràng, CVE-2019-13720 lỗ hổng bảo mật đang bị khai thác trong tự nhiên. Theo báo cáo, nó ảnh hưởng đến thành phần âm thanh của trình duyệt web Chrome.
Nhận thấy cả các mối đe dọa bảo mật, Google đã phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome, nhưng bản cập nhật này dường như bị giới hạn ở kênh ổn định hiện tại. Bản cập nhật được báo cáo chỉ chứa bản vá cho các lỗi. Kaspersky đang tích cực tham gia vào việc điều tra nguy cơ đe dọa, nhưng hiện chưa rõ ai có thể đã khai thác lỗ hổng 0 ngày.