Kaspersky hat eine neue Schwachstelle im Webbrowser Google Chrome entdeckt, die bereits von Angreifern ausgenutzt wurde [1]. Diese ist als CVE-2019-13720 [1] dokumentiert und wurde an Google gemeldet. Nach Überprüfung des bereitgestellten Proof of Concept (PoC) bestätigte Google, dass es sich beim vorliegenden Fall um eine Zero-Day-Schwachstelle handelt. Ein Patch [2] wurde bereits veröffentlicht.
Der gefundene Zero-Day-Exploit kam bereits bei Waterhole-Attacken auf ein koreanischsprachiges Nachrichtenportal zum Einsatz. Dazu wurde auf der Hauptseite ein schädlicher JavaScript-Code eingefügt, der ein Profiling-Skript nachlädt, um auszuspähen, ob das System des Opfers – durch die Überprüfung vorhandener Versionen von Benutzeranmeldedaten innerhalb des Browsers – infiziert werden kann. Der Exploit versucht, den Bug im Google Chrome-Browser auszunutzen; das Skript prüft, dabei, ob die Version 65 oder höher verwendet wird. Damit erhält der Angreifer eine Use-After-Free (UAF)-Situation, mit der dieser Code ausgeführt werden könnte.
Der verwendete Exploit wurde bereits in „Operation WizardOpium“ [3] verwendet. Der Code weist Ähnlichkeiten auf, die sich mit Angriffen der Lazarus-Gruppe in Verbindung bringen lassen. Darüber hinaus ähnelt das Profil der Zielwebsite vorherigen DarkHotel-Angriffen, bei denen kürzlich vergleichbare Attacken unter falscher Flagge durchgeführt wurden.
Die ausgenutzte Schwachstelle wurde durch die Exploit Prevention-Technologie [4] von Kaspersky entdeckt, die in die meisten Produkte des Unternehmens integriert ist.
„Die Entdeckung dieses neuen Google Chrome Zero-Day zeigt, dass uns nur eine intensive Zusammenarbeit zwischen der Security-Community und Softwareentwicklern sowie ständige Investitionen in Exploit Prevention-Technologien vor unvorhersehbaren und versteckten Angriffen durch Cyberkriminelle schützen können“, betont Anton Ivanov, Sicherheitsexperte bei Kaspersky.
Kaspersky empfiehlt folgende Sicherheitsmaßnahmen
Weitere Details zum neuen Exploit auf Securelist unter https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13720
[2] https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
[3] https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
[4] https://www.kaspersky.com/enterprise-security/wiki-section/products/exploit-prevention
[5] https://www.kaspersky.de/small-to-medium-business-security
[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[7] https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting