SecAtor
@true_secator
Google случайно раскрыла подробности еще неисправленной уязвимости в Chromium, из-за которой JavaScript продолжает работать в фоновом режиме даже при закрытом браузере, что позволяет удалённо выполнять код на устройстве.
Об уязвимости сообщила исследовательница Лира Ребане. Она была признана действительной в декабре 2022 года, если верить обсуждениям на форуме Chromium Issue Tracker.
Злоумышленник может использовать уязвимость для создания вредоносной веб-страницы с использованием Service Worker, например, задачи загрузки, которая никогда не завершается, что позволит злоумышленнику выполнить код JavaScript на устройствах посетителей.
Возможные сценарии эксплуатации включают использование скомпрометированных браузеров для запуска распределенных DDoS-атак, проксирование вредоносного трафика и произвольное перенаправление трафика на целевые сайты.
Проблема затрагивает все браузеры на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc.
26 октября 2024 года разработчик Google заметил, что проблема всё ещё не решена, и описал её как серьёзную уязвимость, требующую обновления статуса.
В этом году, 10 февраля, проблема была отмечена как решенная, но через несколько минут её снова открыли из-за ряда проблем.
Поскольку это была проблема безопасности, метки для ошибки были обновлены для прохождения проверки в рамках программы вознаграждения за обнаружение уязвимостей Chrome (VRP). Проблема была отмечена как исправленная 12 февраля, хотя патч еще не был выпущен.
Исследовательницу уведомили через автоматическое электронное письмо о присуждении вознаграждения в размере 1000 долл. за обнаружение уязвимости.
Все ограничения доступа к системе отслеживания ошибок Chromium были сняты 20 мая, поскольку ошибка была закрыта более 14 недель назад и отмечена как исправленная.
В тот же день Ребане протестировала исправление и заметила, что проблема по-прежнему присутствует в Chrome Dev 150 и Edge 148, позволяя без какого-либо взаимодействия с пользователем превратить любой браузер на основе Chromium в часть ботнета на JavaScript.
Причем в Edge пользователь не заметил бы даже ничего необычного, а соединение с C2 оставалось бы стабильным даже после закрытия браузера.
Заметив, что уязвимость по-прежнему работает, Ребане отметила, что Google, вероятно, опубликовала и подробности по ошибке.
Ситуацию усугубляет то, что всплывающее окно загрузки, которое появлялось при активации эксплойта ранее, больше не появляется в последней версии Edge, что делает эксплойт еще более скрытным.
Ребане также заявила Ars Technica, что раскрытие информации Google сделает эксплуатацию уязвимости «довольно простой», однако масштабирование её до крупного ботнета - куда более сложная задача.
Она также уточнила, что эта ошибка не обходит границы безопасности браузера и не предоставляет злоумышленникам доступ к электронной почте, файлам жертвы или ОС.
Учитывая утечку информации по проблеме, риск следует рассматривать как значительный. Сообщество полагает, что Google, скорее всего, отнесется к этому как к срочной проблеме, выпустив в ближайшее время экстренные исправления (если опять не запутается). Будем посмотреть.
Об уязвимости сообщила исследовательница Лира Ребане. Она была признана действительной в декабре 2022 года, если верить обсуждениям на форуме Chromium Issue Tracker.
Злоумышленник может использовать уязвимость для создания вредоносной веб-страницы с использованием Service Worker, например, задачи загрузки, которая никогда не завершается, что позволит злоумышленнику выполнить код JavaScript на устройствах посетителей.
Возможные сценарии эксплуатации включают использование скомпрометированных браузеров для запуска распределенных DDoS-атак, проксирование вредоносного трафика и произвольное перенаправление трафика на целевые сайты.
Проблема затрагивает все браузеры на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc.
26 октября 2024 года разработчик Google заметил, что проблема всё ещё не решена, и описал её как серьёзную уязвимость, требующую обновления статуса.
В этом году, 10 февраля, проблема была отмечена как решенная, но через несколько минут её снова открыли из-за ряда проблем.
Поскольку это была проблема безопасности, метки для ошибки были обновлены для прохождения проверки в рамках программы вознаграждения за обнаружение уязвимостей Chrome (VRP). Проблема была отмечена как исправленная 12 февраля, хотя патч еще не был выпущен.
Исследовательницу уведомили через автоматическое электронное письмо о присуждении вознаграждения в размере 1000 долл. за обнаружение уязвимости.
Все ограничения доступа к системе отслеживания ошибок Chromium были сняты 20 мая, поскольку ошибка была закрыта более 14 недель назад и отмечена как исправленная.
В тот же день Ребане протестировала исправление и заметила, что проблема по-прежнему присутствует в Chrome Dev 150 и Edge 148, позволяя без какого-либо взаимодействия с пользователем превратить любой браузер на основе Chromium в часть ботнета на JavaScript.
Причем в Edge пользователь не заметил бы даже ничего необычного, а соединение с C2 оставалось бы стабильным даже после закрытия браузера.
Заметив, что уязвимость по-прежнему работает, Ребане отметила, что Google, вероятно, опубликовала и подробности по ошибке.
Ситуацию усугубляет то, что всплывающее окно загрузки, которое появлялось при активации эксплойта ранее, больше не появляется в последней версии Edge, что делает эксплойт еще более скрытным.
Ребане также заявила Ars Technica, что раскрытие информации Google сделает эксплуатацию уязвимости «довольно простой», однако масштабирование её до крупного ботнета - куда более сложная задача.
Она также уточнила, что эта ошибка не обходит границы безопасности браузера и не предоставляет злоумышленникам доступ к электронной почте, файлам жертвы или ОС.
Учитывая утечку информации по проблеме, риск следует рассматривать как значительный. Сообщество полагает, что Google, скорее всего, отнесется к этому как к срочной проблеме, выпустив в ближайшее время экстренные исправления (если опять не запутается). Будем посмотреть.
Infosec Exchange
Rebane (@rebane2001@infosec.exchange)
Attached: 1 video
back in 2022 i found a bug that would let me, with no user interaction, turn any chromium-based browser into a permanent js botnet member
in edge, you wouldn't even notice anything out-of-place, and would stay connected to the c2 even after closing the browser
today, almost 4 years later, the bug is finally public:
https://issues.chromium.org/issues/40062121
27 4.7K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram