今日,国外安全研究员发布了 Chrome 远程代码执行漏洞 0day 的利用代码。Google 在代码库和 beta 测试版中修复了此漏洞,但未将更新推送至正式版,因此该漏洞可以威胁最新的 Chrome 浏览器正式版(89.0.4389.114)。
漏洞原理与演示
该漏洞涉及 JavaScript 引擎的 JIT 编译器,在即时编译过程中,由于逻辑问题生成了不安全的机器码,导致内存破坏和漏洞利用。如下图所示,如果手动关闭沙箱,Chrome 漏洞被利用并执行 shellcode,shellcode 内容是弹出计算器:
如图所示,该漏洞同样影响了 Chrome 浏览器和 Chrome 内核的 Edge 浏览器。但默认情况下,在沙箱内的浏览器漏洞利用不会有计算器弹出:
杀伤力有限,影响范围大
该漏洞能够做到沙箱内远程命令执行,由于沙箱限制了很多危险操作,且沙箱是默认启用的,仅凭该漏洞对用户的危害十分有限,并不会导致主机失陷,除非:
1) 用户手动关闭沙箱,方法是使用 cmd 命令行给 Chrome 增加 --no-sandbox 参数;
2) 攻击者拥有一个未曝光的沙箱逃逸 0day 漏洞,这个可能性有,但是概率很低。
另外,这个漏洞不仅影响 Chrome 浏览器,还影响以 Chrome 为内核的所有 PC 及手机浏览器,包括新的 Edge 和一众国内浏览器,还有很多不知名的小众浏览器也大多以 Chrome 为内核。
再有,在浏览器之外,大量的应用程序也以 Chrome 内核作为 UI 的渲染框架,因此这些软件也会受到影响,例如邮箱客户端、即时通信软件、甚至音乐 APP 和外卖 APP,有一些甚至没有启用沙箱。在大部分情景下,这些客户端会把用户访问的内容局限在一定范围内,因此不必过度担忧;在小部分场景下,也就是客户端软件既没有沙箱,也没有做内容限制,那么用户就必须小心应对了。
浏览器漏洞利用的典型攻击手法是水坑攻击。攻击者布置一台 HTTP 服务器,在其上放置漏洞利用代码,当用户访问到相应网页时会下载 HTML 和 JavaScript 代码在用户的浏览器引擎执行,触发浏览器漏洞达到远程命令执行的效果。
另外,更需要重视的是结合社会工程学的钓鱼攻击。根据上面的描述,漏洞利用的情景并不仅仅存在于浏览器访问中,如果点击了某人通过某个APP发来的某个链接,就都有可能中招。
• 在浏览器、邮箱、短信等任何 APP 内出现的链接都不要轻易点击;
• 暂时使用 FireFox、Safari、IE 等最新版非 Chrome 内核的浏览器访问网页,或者使用已更新的 beta 版 Chrome 浏览器,例如 90.0.4430.70(预计 Google 会很快推出含有相应安全更新的正式版浏览器)。
微步在线威胁感知平台 TDP 已经支持对该漏洞利用载荷的检测和告警(规则 ID S3000009871),及时部署 TDP 将有助于您第一时间发现和处置相关攻击。
![Chrome 0day:小心!莫慌~]( "Chrome 0day:小心!莫慌~")
想要了解更多,请拨打
400-030-1051
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。
1. 内容转载,请微信后台留言:转载+转载平台+转载文章
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
本文始发于微信公众号(微步在线研究响应中心):Chrome 0day:小心!莫慌~
评论