Dankzij het subsysteem Kaspersky Exploit Prevention in onze producten detecteerden we onlangs een exploit — een kwaadaardig programma dat aanvallers ongeautoriseerde toegang tot de computer gaf via een kwetsbaarheid in de browser Google Chrome. Het maakte gebruik van een zero-day-kwetsbaarheid die nog onbekend was bij de ontwikkelaars. De kwetsbaarheid kreeg de code CVE-2019-13720 toegewezen.
We meldden de kwetsbaarheid aan Google, die het oplosten met de laatste Chrome-update. Hier beschrijven we hoe deze aanval die deze kwetsbaarheid gebruikt in zijn werk gaat.
WizardOpium: Slecht nieuws in het Koreaans
De aanvallen, die we de naam Operation WizardOpium gaven, begon vanaf een Koreaanse nieuwssite waar de aanvallers de schadelijke code injecteerden. Deze code laadt een script van een site van derden die eerst kijkt of een systeem geschikt is voor infectie en welke browser het slachtoffer gebruikt (cybercriminelen zijn geïnteresseerd in Chrome voor Windows, niet ouder dan versie 65).
Als het besturingssysteem en de browser aan de vereisten voldoen, downloadt het script stukje bij beetje een exploit, die wordt gereconstrueerd en deze vervolgens decodeert. Het eerste dat de exploit doet is nog een check uitvoeren op de Chrome-versie. In deze fase wordt het kieskeuriger en werkt het alleen nog maar met Chrome 76 of 77. Het kan zijn dat de toolkit van de cybercriminelen nog andere exploits voor andere browsers bevat, maar dat kunnen we niet met zekerheid stellen.
Na te verifiëren dat het heeft gevonden waar het naar op zoek was, gebruikt de exploit de use-after-free-kwetsbaarheid CVE-2019-13720, gebaseerd op oneigenlijk gebruik van computergeheugen. Door het geheugen te manipuleren verkrijgt de exploit de machtiging om gegevens op het apparaat te lezen en te schrijven, wat onmiddellijk wordt gebuikt om de malware te downloaden, decoderen en uitvoeren. Het laatste kan verschillen afhankelijk van de gebruiker.
Kaspersky Lab-producten detecteren de exploit met Exploit.Win32.Generic. Meer technische details zijn beschikbaar in de Securelist-post.
Update Chrome
Zelfs als u geen Koreaanse nieuwssites leest, raden we u aan om onmiddellijk uw Chrome te updaten naar versie 78.0.3904.87. Er is al één exploit die van deze kwetsbaarheid gebruikmaakt, wat kan betekenen dat er andere zouden kunnen volgen. Dit zal hoogstwaarschijnlijk gebeuren zodra de details van de kwetsbaarheid vrij toegankelijk worden.
Google heeft een Chrome-update voor Windows, macOS en Linux uitgegeven. Chrome updatet automatisch, en het simpelweg opnieuw opstarten van de browser zou voldoende moeten zijn.
Controleer om hier zeker van te zijn of de update inderdaad is geïnstalleerd. Klik om dit te doen op de drie verticale puntjes rechts bovenin de browser (“Google Chrome aanpassen en beheren”), en selecteer Help → Over Google Chrome. Als het nummer dat u daar ziet 78.0.3904.87 of hoger is, is alles in orde. Als dat niet het geval is, zal Chrome naar beschikbare updates op zoek gaan en deze installeren (u ziet dan een draaiende cirkel aan de linkerkant), en na een paar seconden zal het nummer van de laatste versie op het scherm verschijnen: Klik op Opnieuw opstarten.