【天问】Chrome 0Day漏洞软件供应链影响分析

admin 2022年2月24日13:57:33评论151 views字数 2386阅读7分57秒阅读模式

    2021年4月13日,安全研究人员Rajvardhan Agarwal在推特上公布了一个可远程代码执行(RCE)的0Day漏洞,奇安信技术研究院星图实验室利用“天问”软件供应链安全分析系统,对该漏洞的影响范围进行了评估。

01 漏洞背景

    2021年4月13日,安全研究人员Rajvardhan Agarwal在推特上公布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器上成功触发。Agarwal公布的漏洞,是基于Chromium内核的浏览器中V8 JavaScript引擎的远程代码执行漏洞,同时还发布了该漏洞的PoC。

    好消息是,Chrome浏览器沙盒可以拦截该漏洞。但如果该漏洞与另一个漏洞进行组合,就有可能绕过Chrome沙盒。

02 漏洞影响评估

    由于Chrome和市面上很多浏览器都是基于Chromium内核开发的,依据天问以往的分析经验,也会有大量的软件直接或间接的集成、依赖Chromium内核,这些软件很可能也受到该漏洞的影响!

    目前,该漏洞的原因、利用相关的分析已经较为全面。但是,我们怎么知道有多少浏览器存在漏洞,又有哪些软件会受到该漏洞的影响?我们在用的哪些软件需要升级?奇安信技术研究院星图实验室使用自研天问系统——专门面向软件供应链安全领域的分析平台,对比进行了深入分析。

【天问】Chrome 0Day漏洞软件供应链影响分析


2.1  漏洞直接影响范围分析


    首先,在天问系统中,我们可以根据CVE、文件名、MD5等信息进行搜索,由于该漏洞很新,CVE信息还不够完善,我们无法直接通过CVE获取影响软件列表。但是由于该漏洞说明中提到,漏洞是出现在Chromium中的V8引擎中,因此我们可以利用相关的文件进行搜索,如chrome.dll、chrome_elf.dll等。

    以chrome.dll为例,我们可以通过天问数据库检索查看软件空间中包含chrome.dll文件的元素:

【天问】Chrome 0Day漏洞软件供应链影响分析

    我们选取一个点进去,如e52cd11dadd111c0ff912d2f0d1555fc,就可以得到这个dll文件的依赖关系以及影响的软件列表等信息,也可以点击查看详细影响关系:

【天问】Chrome 0Day漏洞软件供应链影响分析

    如上图所示,该案例是某款浏览器的不同版本,他们都使用了Chromium内核,我们可以通过天问看到每个终端软件到目标软件的影响关系和潜在漏洞触发路径,如先解压,后加载等。

    部分chrome.dll实例的影响面非常广,因此我们可以点击“查看详细影响关系”来查看详细的软件空间测绘图,如下图所示,用户可以看到详细的软件名称、组件、IP、域名、CVE等不同元素的依赖关系,可以直观地看到一个漏洞组件的影响面。

【天问】Chrome 0Day漏洞软件供应链影响分析


2.2  使用Chrome内核的其他浏览器


    我们利用天问,通过Chrome自带的一些特征明显的组件,如chrome.exe、chrome.dll、chrome_child.dll等模块元素来关联其他软件,共关联出348个受影响的组件,其中177款为用户在互联网上可以直接下载到的软件。

    在这177款软件中,大部分都为浏览器软件,以及使用了包含Chrome内核的双核浏览器。全量浏览器列表欢迎联系我们获取。

    同时,由于软件空间生态的更新时延问题,大部分浏览器无法在第一时间打上漏洞补丁,甚至有一些常见浏览器的内核还停留在几年前的状态,哪怕是Chrome官方第一时间提供了更新补丁以及解决方案,攻击者仍然可以通过供应链式的攻击对其他使用了Chrome内核的终端软件或浏览器进行攻击。利用天问的分析结果,我们也在第一时间对多款浏览器进行了漏洞验证,并成功复现。

【天问】Chrome 0Day漏洞软件供应链影响分析


2.3  使用Chrome内核的终端软件


    由于该0Day漏洞影响力较大,很多用户收到了相关的告警,在使用这些浏览器的时候也会更加谨慎,并且可以及时将Chrome、EDGE等浏览器更新至最新版。然而这样就真的解决问题了吗?

    天问通过对软件空间测绘数据的关联分析,发现Chrome内核的JS引擎不光会影响到很多第三方浏览器,同时也会影响到众多其他类型的终端软件,如xxx网盘、xxx大师等大量软件。这些软件虽然不是直接基于Chromium内核开发,但是集成了对应的浏览器,导致攻击者依然可以通过间接的方式攻击用户。因此,这些终端软件同样有可能被攻击者利用,导致用户电脑被攻击。

    详细的受影响软件列表同样可以联系我们获取。

03 应对方案

    虽然每个软件的漏洞利用条件和难度各有不同,不是所有的受影响软件都可以被成功攻击,但是,利用天问系统,我们可以发现所有具有潜在安全风险的软件,以便软件厂商、终端用户、监管机构明确安全风险的影响范围,及时采取更新、防范措施。

    目前,Chrome官方已经发布漏洞修复更新版本,使用Chrome的用户可以及时更新,使用其他Chrome内核浏览器的用户则需要提高安全意识,防范攻击。使用受影响的终端软件的用户也要依据软件功能进行对应的防范,如网盘工具不要打开未知的文件分享链接等。

参考链接

[1]https://github.com/r4j0x00/exploits/tree/master/chrome-0day

[2]https://chromium-review.googlesource.com/c/v8/v8/+/2820971

星图实验室

星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。

我们目前正在招聘,工作地点覆盖北京、上海、成都等城市,详情请参见:https://research.qianxin.com/recruitment/



原文始发于微信公众号(奇安信技术研究院):【天问】Chrome 0Day漏洞软件供应链影响分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月24日13:57:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【天问】Chrome 0Day漏洞软件供应链影响分析https://cn-sec.com/archives/621732.html

发表评论

匿名网友 填写信息