Chrome под прицелом: уязвимость нулевого дня в браузере

В Chrome исправили уязвимость, которую уже используют злоумышленники. Советуем обновить браузер, не откладывая.

Недавно наше решение Kaspersky Exploit Prevention обнаружило эксплойт — вредоносную программу, которая взламывает приложения или устройства при помощи уязвимостей в них — для Google Chrome. Этот эксплойт использовал уязвимость нулевого дня, то есть, разработчики о ней не знали. Ей присвоили идентификатор CVE-2019-13720.

Мы сообщили об уязвимости Google, и компания исправила ее в последнем обновлении Chrome. Рассказываем, как разворачиваются атаки на эту уязвимость, которые мы назвали общим именем «операция WizardOpium».

WizardOpium: плохие новости по-корейски

Атака WizardOpium начинается с корейского новостного сайта: именно туда злоумышленники внедрили вредоносный скрипт. Этот скрипт запускает еще один, который сначала проверяет, что за браузер использует жертва: преступников интересует Chrome для Windows, причем не старше 65 версии.

Если операционная система и браузер соответствуют требованиям злоумышленников, скрипт по частям скачивает на компьютер, собирает и расшифровывает эксплойт, который первым делом… снова проверяет версию Chrome. На этом этапе он оказывается более придирчив и хочет работать исключительно с Chrome 76 или 77. Возможно, для других версий браузера в арсенале злоумышленников есть другие эксплойты, но наверняка мы этого сказать не можем.

Убедившись, что попал по адресу, эксплойт принимается взламывать браузер. Уязвимость CVE-2019-13720 относится к типу use-after-free и связана с некорректным использованием памяти компьютера. Эксплойт совершает набор манипуляций с памятью, и в результате получает право считывать и записывать данные на устройство. Которым тут же и пользуется — скачивает, расшифровывает и запускает зловреда. Этот зловред может оказаться разным для разных пользователей.

Продукты «Лаборатории Касперского» обнаруживают описанный эксплойт с вердиктом Exploit.Win32.Generic. Больше технических деталей можно найти в посте на Securelist.

Обновите Chrome

Даже если вы не читаете корейские новостные издания, мы советуем вам обновить Chrome до версии 78.0.3904.87, не откладывая. Один эксплойт, использующий эту уязвимость, уже есть, а значит, могут появиться и другие. Скорее всего, это произойдет сразу после того, как детали уязвимости окажутся в свободном доступе.

Компания Google выпустила обновление браузера для Windows, Mac и Linux. Chrome обновляется автоматически, и скорее всего будет достаточно просто перезапустить браузер.

Для полной уверенности стоит убедиться, что обновление установлено. Для этого нажмите на три вертикальные точки в правом верхнем углу браузера («Настройка и управление Google Chrome»), выберите Справка → О браузере Google Chrome. Если номер, который вы увидите, — это 78.0.3904.87 или выше, то все уже в порядке. Если нет, то Chrome начнет искать и устанавливать доступные обновления (слева вы увидите вращающийся кружок) и через несколько секунд на экране появится номер самой свежей версии: нажмите Перезапустить.

02.11.2019