WizardOpium Operasyonunda Aktif Olarak Kullanılan "Yüksek Önemli" Sıfır Gün İstismarına Karşı Google Chrome Acil Durum Güncellemesi Yayınlandı
Google Chrome web tarayıcısının geliştiricileri, Cadılar Bayramı'nda bir acil durum güncellemesi yayınladı. Güncelleme, popüler web tarayıcısının tüm platformlardaki tüm kararlı sürümleri içindir ve bu, güncellemenin ciddiyetinin açık bir göstergesidir. Görünüşe göre, güvenlik güncellemesi bir değil iki güvenlik açığına karşı koymak içindir. Daha da endişe verici olan, güvenlik kusurlarından birinin zaten vahşi doğada sıfır gün istismarı.
Kaspersky ürünlerinin aktif bir tehdit algılama bileşeni olan Kaspersky Exploit Prevention, Google'ın Chrome tarayıcısı için bilinmeyen yeni bir istismar yakaladı. Ekip, bulgularını Google Chrome güvenlik ekibine bildirdi ve ayrıca bir Kavram Kanıtı (PoC) ekledi. Hızlı bir incelemeden sonra Google, Google Chrome web tarayıcısında gerçekten de aktif bir 0-Day güvenlik açığı olduğuna ikna oldu. Sorunu hızla en yüksek önceliğe yükselttikten sonra Google, web tarayıcısında bir acil durum güncellemesi yayınladı. Güvenlik açığı, 'Yüksek Önemli 0-Day Exploit' olarak etiketlendi ve tüm farklı işletim sistemlerinde Chrome tarayıcısının tüm farklı türevlerini etkiliyor.
Kaspersky, Tüm Google Chrome Tarayıcı Sürümlerini Etkileyen "Exploit.Win32.Generic" 0 Günlük Güvenlik Açığını Tespit Ediyor:
Google, Cadılar Bayramı'nda "kararlı kanal" masaüstü Chrome tarayıcısının Windows, Mac ve Linux platformlarında 78.0.3904.87 sürümüne güncellendiğini doğruladı. Kademeli olarak kullanıma sunulan güncellemelerin aksine, en son güncelleme oldukça hızlandırılmış bir dağıtıma sahip olmalıdır. Bu nedenle, Chrome tarayıcı kullanıcılarının en son güncellemeyi herhangi bir gecikme olmadan yüklemelerini sağlamaları çok önemlidir. Oldukça şifreli bir mesajda, Google şöyle bir tavsiye yayınladı:
“Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir. Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında mevcutsa, kısıtlamaları da koruyacağız."
https://twitter.com/TheHackersNews/status/1190201400279453697
Google, Chrome'daki güvenlik açıkları konusunda oldukça tutarsız olsa da Kaspersky, gayri resmi olarak saldırıyı "Operation WizardOpium" olarak adlandırdı. Teknik olarak, saldırı bir Exploit.Win32.Generic. Virüsten koruma, güvenlik duvarı ve diğer ağ güvenliği ürünlerinin üreticisi hâlâ saldırının potansiyelini ve saldırıyı başlatmış olabilecek siber suçluların kimliklerini araştırıyor. Ekip, bazı kod ayılarının olduğunu iddia ediyor Lazarus saldırılarına biraz benzerlik, ancak hiçbir şey tespit edilmedi.
Kaspersky'ye göre saldırı, kötü amaçlı bir profil oluşturma komut dosyası yükleyerek olabildiğince fazla veri madenciliği yapıyor gibi görünüyor. Görünüşe göre 0-Day güvenlik açığı, kötü amaçlı JavaScript kodunu enjekte etmek için kullanıldı. Saldırı oldukça karmaşık olduğu için sisteme virüs bulaşabileceğinden veya savunmasız olduğundan emin olmak için bir dizi kontrol gerçekleştirir. Sadece kalifikasyon kontrollerinden sonra, saldırı gerçek yükü elde etmek ve aynısını dağıtmak için devam eder.
Google, Chrome Zero-Day Exploit'i Kabul Ediyor ve Tehdide Karşı Acil Durum Güncellemesi Yayınlıyor:
Google, istismarın şu anda vahşi ortamda var olduğunu kaydetti. Şirket, istismarın CVE-2019-13720 güvenlik açığı için olduğunu ekledi. Bu arada, resmi olarak CVE-2019-13721 olarak etiketlenmiş bir güvenlik açığı daha var. Her iki güvenlik açığı da saldırıya uğrayan sistemdeki ayrıcalıkları yükseltmek için bellek bozulmasından yararlanan "ücretsiz kullanım sonrası" güvenlik açıklarıdır. Görünüşe göre, CVE-2019-13720 güvenlik açığı vahşi doğada istismar ediliyor. Bildirildiğine göre Chrome web tarayıcı ses bileşenini etkiliyor.
Her iki güvenlik tehdidini de kabul eden Google, Chrome tarayıcısı için bir acil durum güncellemesi yayınladı, ancak güncelleme şu anda kararlı kanalla sınırlı görünüyor. Güncellemenin yalnızca hatalara yönelik yamayı içerdiği bildiriliyor. Kaspersky, tehdit riskini araştırmakla aktif olarak ilgileniyor, ancak 0 günlük güvenlik açığından kimin yararlanmış olabileceği hemen belli değil.