Um pesquisador abandonou o código de exploração de trabalho para uma vulnerabilidade de execução remota de código de dia zero (RCE) no Twitter, que ele disse que afeta as versões atuais do Google Chrome e potencialmente outros navegadores, como o Microsoft Edge, que usam o framework Chromium.
O pesquisador de segurança Rajvardhan Agarwal tuitou um
Link GitHub
ao código de exploração - o resultado do concurso de hacking ético Pwn2Own realizado online na semana passada - na segunda-feira.
“Só estou aqui para lançar um cromo 0day,” Agarwal escreveu em seu tweet. "Sim, você leu certo."
Pwn2Own
as regras do concurso exigem que a equipe de segurança do Chrome receba detalhes do código para que possam corrigir a vulnerabilidade o mais rápido possível, o que eles fizeram; a versão mais recente do Chrome
Motor JavaScript V8
corrige a falha, Agarwal disse em um comentário postado em resposta a seu próprio tweet.
No entanto, esse patch ainda não foi integrado aos lançamentos oficiais de navegadores baseados em Chromium downstream, como Chrome, Edge e outros, deixando-os potencialmente vulneráveis a ataques. O Google deve lançar uma nova versão do Chrome - incluindo correções de segurança - em algum momento na terça-feira, embora não esteja claro se os patches para o bug serão incluídos.
No momento da publicação, uma atualização do Chrome
ainda não tinha sido lançado
e o Google ainda não havia respondido a um e-mail do Threatpost solicitando comentários sobre a falha e a atualização.
Não Totalmente Armados
Os pesquisadores de segurança Bruno Keith e Niklas Baumstark, da Dataflow Security, desenvolveram o
código de exploração
para
tipo incompatível
bug durante o concurso da semana passada, e usei-o para
explorar com sucesso
a vulnerabilidade do Chromium para executar código malicioso dentro do Chrome e Edge. Eles receberam $ 100.000 por seu trabalho.
A exploração inclui um arquivo HTML PoC que, com seu arquivo JavaScript correspondente, pode ser carregado em um navegador baseado em Chromium para iniciar o programa de calculadora do Windows (calc.exe). Os invasores ainda precisam escapar do navegador Chrome “
caixa de areia
, ”Um contêiner de segurança impedindo que o código específico do na
vegador alcance o sistema operacional subjacente, para concluir a execução remota completa do código, de acordo comum relatório publicado
de Recorded Future.
Os pesquisadores pareceram surpresos que Agarwal postou a exploração no Twitter, com Baumstark tweetando uma resposta ao post de Agarwal na segunda-feira. “Ser pego por nossos próprios bugs não estava na minha cartela de bingo em 2021”, ele
tweetou
.
Embora o código de exploração que Agarwal postou realmente permita que um invasor execute código malicioso no sistema operacional de um usuário, ele aparentemente não foi inescrupuloso o suficiente para postar uma versão totalmente armada do código, de acordo com o The Record - ele não postou uma exploração completa corrente que permitiria o escape da caixa de areia.
Ainda assim, a exploração postada ainda pode atacar serviços que executam versões incorporadas / sem cabeça do Chromium, onde as proteções de sandbox geralmente não estão habilitadas, Agarwal disse ao The Record.
A edição de primavera de 2021 Pwn2Own, patrocinada pela Zero Day Initiative da Trend Micro, foi realizada online na semana passada depois que os organizadores publicaram
uma lista de alvos elegíveis
para o concurso em janeiro. O concurso atraiu várias equipes e incluiu 23 sessões de hacking contra 10 produtos diferentes da lista de alvos predefinidos.
As equipes tiveram 15 minutos para executar seu código de exploração e obter RCE dentro do aplicativo alvo, recebendo vários prêmios monetários - com $ 1,5 milhão em prêmios em dinheiro - para cada exploração bem-sucedida dos patrocinadores do concurso, bem como pontos para a classificação geral.
Você já se perguntou o que acontece nos fóruns clandestinos do crime cibernético? Descubra em 21 de abril às 14h00 horário do leste dos EUA durante um
Evento Threatpost GRATUITO
, “Mercados subterrâneos: um tour pela economia escura.” Os especialistas o levarão em um tour guiado pela Dark Web, incluindo o que está à venda, quanto custa, como os hackers trabalham juntos e as ferramentas mais recentes disponíveis para hackers.
Registre-se aqui
para o evento AO VIVO de quarta-feira, 21 de abril.