Un investigador ha eliminado el código de explotación en funcionamiento para una vulnerabilidad de ejecución remota de código (RCE) de día cero en Twitter, que, según dijo, afecta a las versiones actuales de Google Chrome y potencialmente a otros navegadores, como Microsoft Edge, que utilizan el marco Chromium.
El investigador de seguridad Rajvardhan Agarwal tuiteó un
Enlace de GitHub
al código de explotación, el resultado del concurso de piratería ética Pwn2Own realizado en línea la semana pasada, el lunes.
"Solo aquí para dejar caer un Chrome 0day", escribió Agarwal en su tweet. "Sí, lo leiste bien."
Pwn2Own
las reglas del concurso requieren que el equipo de seguridad de Chrome reciba detalles del código para poder parchear la vulnerabilidad lo antes posible, lo cual hicieron; la última versión de Chrome
Motor JavaScript V8
corrige la falla, dijo Agarwal en un comentario publicado en respuesta a su propio tweet.
Sin embargo, ese parche aún no se ha integrado en las versiones oficiales de los navegadores posteriores basados en Chromium como Chrome, Edge y otros, lo que los deja potencialmente vulnerables a los ataques. Se espera que Google lance una nueva versión de Chrome, que incluye correcciones de seguridad, en algún momento del martes, aunque no está claro si se incluirán parches para el error.
En el momento de la publicación, una actualización de Chrome
aún no ha sido lanzado
y Google aún no había respondido a un correo electrónico de Threatpost solicitando comentarios sobre la falla y la actualización.
No completamente armado
Los investigadores de seguridad Bruno Keith y Niklas Baumstark de Dataflow Security desarrollaron el
código de explotación
para
falta de coincidencia de tipo
error durante el concurso de la semana pasada, y lo usé para
explotar con éxito
la vulnerabilidad de Chromium para ejecutar código malicioso dentro de Chrome y Edge. Recibieron $ 100,000 por su trabajo.
El exploit incluye un archivo PoC HTML que, con su correspondiente archivo JavaScript, se puede cargar en un navegador basado en Chromium para iniciar el programa de calculadora de Windows (calc.exe). Los atacantes aún tendrían que escapar del navegador Chrome "
salvadera
, ”Un contenedor de seguridad que evita que el código especí
fico del navegador llegue al sistema operativo subyacente, para completar la ejecución remota completa del código, segúnun informe publicado
de Futuro grabado.
Los investigadores parecían sorprendidos de que Agarwal publicara el exploit en Twitter, y Baumstark tuiteó una respuesta a la publicación de Agarwal el lunes. "Tener nuestros propios errores no estaba en mi tarjeta de bingo para 2021", dijo
tuiteó
.
Si bien el código de explotación que publicó Agarwal permite que un atacante ejecute código malicioso en el sistema operativo de un usuario, aparentemente no fue lo suficientemente inescrupuloso como para publicar una versión completamente armada del código, según The Record; no publicó una vulnerabilidad completa. cadena que permitiría escapar de la caja de arena.
Aún así, el exploit tal como se publicó aún podría atacar los servicios que ejecutan versiones incrustadas / sin cabeza de Chromium, donde las protecciones de sandbox generalmente no están habilitadas, dijo Agarwal a The Record.
La edición de primavera de 2021 Pwn2Own, patrocinada por Zero Day Initiative de Trend Micro, se realizó en línea la semana pasada después de que los organizadores publicaran
una lista de objetivos elegibles
para el concurso de enero. El concurso atrajo a varios equipos e incluyó 23 sesiones de piratería contra 10 productos diferentes de la lista de objetivos predefinidos.
Los equipos tuvieron 15 minutos para ejecutar su código de explotación y lograr RCE dentro de la aplicación objetivo, recibiendo varios premios monetarios, con $ 1.5 millones en premios totales en juego, por cada explotación exitosa de los patrocinadores del concurso, así como puntos para la clasificación general.
¿Alguna vez se preguntó qué sucede en los foros clandestinos de ciberdelincuencia? Descúbrelo el 21 de abril a las 2 p.m. ET durante un
Evento gratuito Threatpost
, "Mercados subterráneos: un recorrido por la economía oscura". Los expertos lo llevarán a una visita guiada por la Dark Web, incluido lo que está a la venta, cuánto cuesta, cómo trabajan los piratas informáticos en conjunto y las últimas herramientas disponibles para los piratas informáticos.
Registrar aquí
para el evento LIVE del miércoles 21 de abril.
