¿Usas Chrome? Exploit 0-Day activo

Google está adviertiendo de forma urgente a sus millones de usuarios que instalen la versión Chrome 78.0.3904.87, para parchear dos vulnerabilidades de alta gravedad, una de las cuales los atacantes están explotando activamente.

Sin revelar detalles técnicos de la vulnerabilidad, el equipo de seguridad de Chrome dice que ambos problemas son vulnerabilidades del tipo use-after-free, uno afecta el componente de audio de Chrome (CVE-2019-13720) mientras que el otro reside en la biblioteca PDFium (CVE-2019-13721).

Este tipo de vulnerabilidad es una clase de problemas de corrupción de memoria que permite la modificación de datos en memoria, lo que brinda la posibilidad de escalar privilegios en el sistema afectado. Este tipo de vulnerabilidades son las más comunes descubiertas y parcheadas en el navegador web Chrome en los últimos meses.

Por lo tanto, ambas fallas podrían permitir a los atacantes remotos obtener privilegios en el navegador, simplemente al convencer a los usuarios objetivo de que visiten un sitio web malicioso, lo que les permite escapar de las protecciones de la sandbox y ejecutar código malicioso arbitrario en los sistemas objetivo.

Descubierto e informado por los investigadores de Kaspersky Anton Ivanov y Alexey Kulaev, el problema del componente de audio en la aplicación Chrome se ha descubierto siendo explotado in-the-wild, aunque en ese momento no está claro qué grupo específico de atacantes lo ha estado utilizando.

Detalles técnicos del Exploit 0-Day de Chrome

Un día después de que Google lanzó la actualización de emergencia, Kaspersky Labs reveló más detalles técnicos. Según los investigadores, los atacantes comprometieron un portal de noticias en idioma coreano. Plantaron el código de explotación en el sitio, como un pozo de agua, para hackear las computadoras de los visitantes que utilicen Google Chrome.

Según los informes, el exploit instala el malware de primera etapa en los sistemas de destino después de explotar la vulnerabilidad de Chrome (CVE-2019-13720), que luego se conecta a un servidor de control y comando remoto codificado para descargar la carga útil final.

Apodado “Operation WizardOpium” por los investigadores, el ciberataque aún no se ha atribuido a ningún grupo específico. Aún así, los investigadores encontraron algunas similitudes en el código de explotación con el infame grupo Lazarus.

“Hasta ahora, no hemos podido establecer un vínculo definitivo con ningún actor. Hay ciertas similitudes de código muy débiles con los ataques de Lazarus, aunque podrían ser una operación de falsa bandera. El perfil del sitio web objetivo está más en línea con ataques anteriores de DarkHotel, que recientemente han desplegado ataques similares de falsa bandera”.

Para obtener más detalles sobre Operation WizardOpium que explota la vulnerabilidad de Chrome recientemente revisada, puede dirigirse al nuevo informe que acaba de publicar Kaspersky.

Mientras, se recomienda actualizar Google Chrome inmediatamente a la versión 78.0.3904.87.

Por: Swati Khandelwal