Chrome nel mirino della vulnerabilità zero-day

È stata pubblicata una Patch per una vulnerabilità in Chrome, già sfruttata dai cybercriminali. Vi consigliamo di aggiornare il navigatore immediatamente.

Grazie al sottosistema Exploit Prevention di Kaspersky, abbiamo individuato di recente un exploit (un programma dannoso che permette ai cybercriminali di accedere al computer senza autorizzazione) attraverso una vulnerabilità del browser Google Chrome. Si trattava di una vulnerabilità zero-day, ed era quindi sconosciuta agli sviluppatori. Adesso, viene identificata come CVE-2019-13720.

Abbiamo segnalato la vulnerabilità a Google, che l’ha corretta nell’ultimo aggiornamento di Chrome. Vi spieghiamo come funziona l’attacco che sfrutta questa vulnerabilità.

WizardOpium: brute notizie dalla Corea

Gli attacchi, che abbiamo chiamato Operazione WizardOpium, sono iniziati in un sito di notizie coreano nel quale i cybercriminali hanno iniettato un codice dannoso. Questo codice dannoso carica uno script da un sito di terzi parti che per prima cosa verifica se il sistema è idoneo all’infezione, e poi individua il browser utilizzato dalla vittima (ai cybercriminali interessa Chrome per Windows a partire dalla versione 65).

Se il sistema operativo e il browser soddisfano i requisiti, lo script scarica l’exploit a frammenti, e poi li assembla e li decifra. La prima cosa che fa questo exploit è controllare la versione di Chrome. In questa fase, diventa più selettivo e funziona esclusivamente con Chrome 76 o 77. È possibile che gli strumenti dei cybercriminali includano altri exploit per le diverse versioni del browser, ma non lo sappiamo per certo.

Dopo aver trovato ciò che sta cercando, l’exploit tenta di sfruttare la vulnerabilità Use-After-Free CVE-2019-13720, che si basa su un uso inappropriato della memoria del computer. Manipolando la memoria, l’exploit ottiene il permesso di leggere e scrivere dati sul dispositivo, che utilizza immediatamente per scaricare, decifrare ed eseguire il malware. Quest’ultimo può variare da utente a utente.

I prodotti di Kaspersky individuano l’exploit come Exploit.Win32.Generic. Per maggiori informazioni tecniche, potete leggere questo post di Securelist.

Aggiornate Chrome

Anche se non visitate siti di notizie coreane, vi raccomandiamo di aggiornare Chrome alla versione 78.0.3904.87. Esiste un exploit che utilizza questa vulnerabilità e questo significa che potrebbero seguirne altri. Questo avverrà probabilmente quando verranno pubblicate informazioni a proposito di questa vulnerabilità.

Google ha rilasciato un aggiornamento di Chrome per Windows, macOS e Linux. Dato che Chrome si aggiorna automaticamente, riavviare il browser dovrebbe essere sufficiente.

Per essere doppiamente sicuri, verificate che l’aggiornamento sia stato installato. Per farlo, cliccate sui tre punti verticali nell’angolo in alto a destra del browser (“Personalizza e controlla Google Chrome”), e selezionate Guida → Informazioni su Google Chrome. Se il numero che vedete è 78.0.3904.87 o superiore, significa che è tutto okay. In caso contrario, Chrome inizierà a cercare e installare gli aggiornamenti disponibili (vedrete un cerchio rotante sulla sinistra), e dopo pochi secondi il numero dell’ultima versione apparirà sullo schermo: Cliccate su Riavvia.

 

Consigli