Chrome Zero-Day Exploit auf Twitter veröffentlicht

Cyber Security News

Ein Update für den Google-Browser, das die Schwachstelle behebt, wird voraussichtlich am Dienstag veröffentlicht werden.

Ein Forscher hat auf Twitter einen funktionierenden Exploit-Code für eine Zero-Day-Remote-Code-Execution-Schwachstelle (RCE) veröffentlicht, die seiner Meinung nach die aktuellen Versionen von Google Chrome und möglicherweise andere Browser wie Microsoft Edge betrifft, die das Chromium-Framework verwenden.

Der Sicherheitsforscher Rajvardhan Agarwal twitterte am Montag einen GitHub-Link zu dem Exploit-Code – das Ergebnis des Pwn2Own-Wettbewerbs für ethisches Hacken, der letzte Woche online stattfand.

“Ich bin nur hier, um einen Chrome 0day auszulösen”, schrieb Agarwal in seinem Tweet. “Yes you read that right.”

Pwn2Own Wettbewerbsregeln erfordern, dass das Chrome-Sicherheitsteam Details des Codes erhalten, so dass sie die Schwachstelle so schnell wie möglich patchen konnten, was sie taten; die neueste Version der Chrome V8 JavaScript-Engine patcht den Fehler, sagte Agarwal in einem Kommentar als Antwort auf seinen eigenen Tweet.

Dieser Patch wurde jedoch noch nicht in die offiziellen Versionen der nachgelagerten Chromium-basierten Browser wie Chrome, Edge und andere integriert, wodurch sie potenziell anfällig für Angriffe sind. Es wird erwartet, dass Google am Dienstag eine neue Chrome-Version mit Sicherheitskorrekturen veröffentlichen wird, obwohl es unklar ist, ob Patches für den Fehler enthalten sein werden.

Zum Zeitpunkt der Veröffentlichung war ein Chrome-Update noch nicht veröffentlicht worden, und Google hatte noch nicht auf eine E-Mail von Threatpost mit der Bitte um einen Kommentar zu dem Fehler und dem Update geantwortet.

Nicht vollständig bewaffnet

Die Sicherheitsforscher Bruno Keith und Niklas Baumstark von Dataflow Security haben in der vergangenen Woche den Exploit-Code für einen Type-Mismatch-Bug entwickelt und damit die Chromium-Schwachstelle erfolgreich ausgenutzt, um bösartigen Code in Chrome und Edge auszuführen. Sie erhielten 100.000 Dollar für ihre Arbeit.

Der Exploit beinhaltet eine PoC-HTML-Datei, die mit der zugehörigen JavaScript-Datei in einen Chromium-basierten Browser geladen werden kann, um das Programm Windows Calculator (calc.exe) zu starten. Laut einem veröffentlichten Bericht von Recorded Future müssten Angreifer noch die “Sandbox” des Chrome-Browsers überwinden, einen Sicherheitscontainer, der verhindert, dass browserspezifischer Code das zugrunde liegende Betriebssystem erreicht, um eine vollständige Remotecodeausführung durchzuführen.

Die Forscher schienen überrascht zu sein, dass Agarwal den Exploit auf Twitter gepostet hat, wobei Baumstark am Montag eine Antwort auf Agarwals Beitrag twitterte. “Mit unseren eigenen Bugs erwischt zu werden, stand nicht auf meiner Bingo-Karte für 2021”, twitterte er.

Während der Exploit-Code, den Agarwal gepostet hat, es einem Angreifer tatsächlich ermöglicht, bösartigen Code auf dem Betriebssystem eines Benutzers auszuführen, war er laut The Record offenbar nicht skrupellos genug, eine vollständig bewaffnete Version des Codes zu posten – er hat keine vollständige Exploit-Kette gepostet, die eine Flucht aus der Sandbox ermöglichen würde.

Dennoch könnte der Exploit, so wie er gepostet wurde, immer noch Dienste angreifen, die eingebettete/kopflose Versionen von Chromium ausführen, wo der Sandbox-Schutz normalerweise nicht aktiviert ist, so Agarwal gegenüber The Record.

Die Frühjahrsausgabe 2021 von Pwn2Own, die von Trend Micros Zero Day Initiative gesponsert wurde, fand letzte Woche online statt, nachdem die Organisatoren im Januar eine Liste der in Frage kommenden Ziele für den Wettbewerb veröffentlicht hatten. Der Wettbewerb zog mehrere Teams an und umfasste 23 Hacking-Sessions gegen 10 verschiedene Produkte aus der Liste der vordefinierten Ziele.

Die Teams hatten 15 Minuten Zeit, um ihren Exploit-Code auszuführen und eine RCE innerhalb der Zielanwendung zu erreichen. Für jeden erfolgreichen Exploit erhielten sie von den Sponsoren des Wettbewerbs verschiedene Geldpreise – insgesamt standen 1,5 Millionen US-Dollar auf dem Spiel – sowie Punkte für die Gesamtwertung.

Haben Sie sich schon einmal gefragt, was in Untergrund-Cybercrime-Foren vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com