Un chercheur a abandonné le code d'exploitation fonctionnel pour une vulnérabilité d'exécution de code à distance (RCE) zero-day sur Twitter, qui, selon lui, affecte les versions actuelles de Google Chrome et potentiellement d'autres navigateurs, comme Microsoft Edge, qui utilisent le framework Chromium.
Le chercheur en sécurité Rajvardhan Agarwal a tweeté un
Lien GitHub
au code d'exploitation - le résultat du concours de piratage éthique Pwn2Own organisé en ligne la semaine dernière - lundi.
"Juste ici pour déposer un chrome 0day", a écrit Agarwal dans son tweet. "Oui, tu l'as bien lu."
Pwn2Own
les règles du concours exigent que l'équipe de sécurité de Chrome reçoive les détails du code afin qu'elle puisse corriger la vulnérabilité dès que possible, ce qu'elle a fait ; la dernière version de Chrome
Moteur JavaScript V8
corrige la faille, a déclaré Agarwal dans un commentaire publié en réponse à son propre tweet.
Cependant, ce correctif n'a pas encore été intégré aux versions officielles des navigateurs en aval basés sur Chromium tels que Chrome, Edge et autres, ce qui les rend potentiellement vulnérables aux attaques. Google devrait publier une nouvelle version de Chrome, y compris des correctifs de sécurité, mardi, bien qu'il ne soit pas clair si des correctifs pour le bogue seront inclus.
Au moment de la publication, une mise à jour Chrome
n'avait pas encore été libéré
et Google n'avait pas encore répondu à un e-mail de Threatpost demandant un commentaire sur la faille et la mise à jour.
Pas complètement armé
Les chercheurs en sécurité Bruno Keith et Niklas Baumstark de Dataflow Security ont développé le
exploiter le code
pour un
incompatibilité de type
bug pendant le concours de la semaine dernière, et l'a utilisé pour
exploiter avec succès
la vulnérabilité Chromium pour exécuter du code malveillant dans Chrome et Edge. Ils ont reçu 100 000 $ pour leur travail.
L'exploit comprend un fichier HTML PoC qui, avec son fichier JavaScript correspondant, peut être chargé dans un navigateur basé sur Chromium afin de lancer le programme de calculatrice Windows (calc.exe). Les attaquants auraient encore besoin d'échapper au navigateur Chrome "
bac à sable
", un conteneur de sécurité empêchant le code spécifique au navigateur
d'atteindre le système d'exploitation sous-jacent, pour terminer l'exécution complète du code à distance, selonun rapport publié
de Recorded Future.
Les chercheurs ont semblé surpris qu'Agarwal ait publié l'exploit sur Twitter, Baumstark ayant tweeté une réponse au message d'Agarwal lundi. "Se faire éclater avec nos propres bugs n'était pas sur ma carte de bingo pour 2021", a-t-il
tweeté
.
Bien que le code d'exploitation publié par Agarwal permet effectivement à un attaquant d'exécuter du code malveillant sur le système d'exploitation d'un utilisateur, il n'était apparemment pas assez sans scrupules pour publier une version entièrement militarisée du code, selon The Record - il n'a pas publié d'exploit complet. chaîne qui permettrait l'évasion du bac à sable.
Pourtant, l'exploit tel que publié pourrait toujours attaquer les services qui exécutent des versions intégrées/sans tête de Chromium, où les protections sandbox ne sont généralement pas activées, a déclaré Agarwal à The Record.
L'édition de printemps 2021 de Pwn2Own, parrainée par l'initiative Zero Day de Trend Micro, s'est tenue en ligne la semaine dernière après la publication des organisateurs
une liste de cibles éligibles
pour le concours en janvier. Le concours a attiré plusieurs équipes et comprenait 23 sessions de piratage contre 10 produits différents de la liste de cibles prédéfinies.
Les équipes ont eu 15 minutes pour exécuter leur code d'exploit et atteindre le RCE dans l'application ciblée, recevant diverses récompenses monétaires - avec 1,5 million de dollars en prix total en jeu - pour chaque exploit réussi des sponsors du concours ainsi que des points vers le classement général.
Vous êtes-vous déjà demandé ce qui se passe dans les forums clandestins de cybercriminalité ? Découvrez-le le 21 avril à 14 h HE lors d'une
Événement de menace GRATUIT
, « Marchés souterrains : un tour de l'économie noire. » Des experts vous feront faire une visite guidée du Dark Web, y compris ce qui est à vendre, combien cela coûte, comment les pirates travaillent ensemble et les derniers outils disponibles pour les pirates.
Inscrivez-vous ici
pour l'événement LIVE du mercredi 21 avril.
