1 ноября 2019

Chrome под прицелом: уязвимость нулевого дня в браузере

Enterprise Бизнес Новости Угрозы

Недавно благодаря подсистеме Kaspersky Exploit Prevention, являющейся частью наших продуктов, мы обнаружили эксплойт — вредоносную программу, которая помогает злоумышленникам получить несанкционированный доступ к компьютеру, через уязвимость в браузере Google Chrome. Он использовал уязвимость нулевого дня, то есть до сих пор не известную разработчикам. Ей присвоили идентификатор CVE-2019-13720.

Мы сообщили об уязвимости Google, и компания исправила ее в последнем обновлении Chrome. Рассказываем, как разворачиваются атаки на эту уязвимость.

Уязвимость нулевого дня в браузере Chrome

WizardOpium: плохие новости на корейском

Атаки, которые мы объединили под общим названием «операция WizardOpium», начались с корейского новостного сайта: именно туда злоумышленники внедрили вредоносный код. Он подгружает со стороннего сайта скрипт, который сначала проверяет, подходит ли система для заражения и какой браузер использует жертва: преступников интересует Chrome для Windows, причем не старше 65-й версии.

Если операционная система и браузер соответствуют требованиям злоумышленников, скрипт по частям загружает, собирает и расшифровывает эксплойт, который первым делом… снова проверяет версию Chrome. На этом этапе он оказывается более придирчив и работает исключительно с Chrome 76 или 77. Возможно, для других версий браузера в арсенале злоумышленников есть другие эксплойты, но наверняка мы этого сказать не можем.

Убедившись, что попал по адресу, эксплойт пытается воспользоваться уязвимостью CVE-2019-13720. Она относится к типу use-after-free и связана с некорректным использованием памяти компьютера. Эксплойт манипулирует памятью и в результате получает право считывать и записывать данные на устройство. Которым тут же и пользуется — загружает, расшифровывает и запускает зловреда. Последний может отличаться для разных пользователей.

Продукты «Лаборатории Касперского» обнаруживают описанный эксплойт с вердиктом Exploit.Win32.Generic. Больше технических деталей можно найти в посте на Securelist.

Обновите Chrome

Даже если вы не читаете корейские новостные издания, мы советуем безотлагательно обновить Chrome до версии 78.0.3904.87. Один эксплойт, использующий эту уязвимость, уже есть, а значит, могут появиться и другие. Скорее всего, это произойдет сразу после того, как детали уязвимости окажутся в свободном доступе.

Компания Google выпустила обновление Chrome для Windows, macOS и Linux. Chrome обновляется автоматически, и, скорее всего, будет достаточно просто перезапустить браузер.

Для полной уверенности стоит убедиться, что обновление установлено. Для этого нажмите на три вертикальные точки в правом верхнем углу браузера («Настройка и управление Google Chrome»), выберите Справка → О браузере Google Chrome. Если номер, который вы увидите, — это 78.0.3904.87 или выше, то все уже в порядке. Если нет, то Chrome начнет искать и устанавливать доступные обновления (слева вы увидите вращающийся кружок), и через несколько секунд на экране появится номер самой свежей версии: нажмите Перезапустить.