Exploit de día cero de Chrome publicado en Twitter - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Exploit de día cero de Chrome publicado en Twitter

Hola de nuevo. Te escribe Eduardo Arroyo y en esta ocasión te voy a hablar sobre Exploit de día cero de Chrome publicado en Twitter

Exploit de día cero de Chrome publicado en Twitter

El martes, se espera que una actualización del navegador de Google resuelva el defecto.

Un investigador abandonó el código de explotación en funcionamiento por una vulnerabilidad de ejecución remota de código (RCE) de día cero en Twitter, que dijo que afecta a las versiones actuales de Google Chrome y potencialmente a otros navegadores, como Microsoft Edge, que usan el marco Chromium.

El investigador de seguridad Rajvardhan Agarwal tuiteó un Enlace a GitHub al código de explotación, el resultado del concurso de piratería ética de Pwn2Own realizado Online la semana pasada, el lunes.

«Solo estoy aquí para lanzar un Chrome 0day», escribió Agarwal en su tweet. «Sí, lo leíste correctamente.»

Pwn2Own las reglas del concurso requieren que el equipo de seguridad de Chrome reciba detalles del código para que puedan corregir la vulnerabilidad lo antes posible, lo cual hicieron; la última versión de Chrome Motor JavaScript V8 corrige la falla, dijo Agarwal en un comentario publicado en respuesta a su tweet.

Sin embargo, ese parche aún no se ha integrado en las versiones oficiales de los navegadores posteriores basados ​​en Chromium como Chrome, Edge y otros, lo que los deja potencialmente vulnerables a los ataques. Se espera que Google lance una nueva versión de Chrome, incluidas correcciones de seguridad, el martes, aunque no está claro si se incluirán parches para el error.

En el momento de la publicación, una actualización de Chrome aún no había sido liberado y Google aún no había respondido a un correo electrónico de Threatpost solicitando comentarios sobre la falla y actualización.

Los investigadores de seguridad Bruno Keith y Niklas Baumstark de Dataflow Security desarrollaron el archivo código de explotación para tipo no coincidente error durante el concurso de la semana pasada y lo usé para explotar con éxito la vulnerabilidad de Chromium para ejecutar código malicioso dentro de Chrome y Edge. Recibieron $ 100,000 por su trabajo.

El exploit incluye un archivo PoC HTML que, con el archivo JavaScript correspondiente, se puede cargar en un navegador basado en Chromium para iniciar el programa de calculadora de Windows (calc.exe). Los atacantes deberían salir del navegador Chrome «salvadera, «Un contenedor de seguridad que evita que el código específico del navegador llegue al sistema operativo subyacente, para completar la ejecución completa del código de forma remota, según un informe publicado por Recorded Future.

Los investigadores parecían sorprendidos de que Agarwal publicara el exploit en Twitter, y Baumstark tuiteó una respuesta a la publicación de Agarwal el lunes. «Quedar atrapado con nuestros propios errores no estaba en mi tarjeta de bingo para 2021», dijo. tuiteó.

Aunque el código de explotación publicado por Agarwal en realidad permite que un atacante ejecute código malicioso en el sistema operativo de un usuario, aparentemente no fue lo suficientemente inescrupuloso como para publicar una versión completamente armada del código, según The Record; no publicó una vulnerabilidad completa. cadena que permitiría escapar del arenero.

Sin embargo, el exploit publicado aún podría atacar los servicios que ejecutan versiones integradas / sin cabeza de Chromium, donde las protecciones de sandbox no suelen estar habilitadas, dijo Agarwal a The Record.

La edición de primavera de 2021 de Pwn2Own, patrocinada por Zero Day Initiative de Trend Micro, tuvo lugar Online la semana pasada después de que los organizadores publicaran una lista de objetivos adecuados para la competencia de enero. El concurso involucró a varios equipos e incluyó 23 sesiones de piratería contra 10 productos diferentes de la lista de objetivos predefinida.

Los equipos tenían 15 minutos para ejecutar su código de explotación y obtener RCE dentro de la aplicación objetivo, recibiendo varios premios en efectivo, con $ 1.5 millones en premios totales en juego, por cada explotación exitosa de los patrocinadores del concurso, así como puntos para el general. clasificación.

.

Recuerda compartir en tus redes sociales para que tus colegas opinen

??? ? ? ???

Comparte