CVE-2019-13720:Chrome 0-day 破绽应用 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2019-13720:Chrome 0-day 破绽应用

申博_新闻事件 申博 52次浏览 已收录 0个评论

果博官网

果博官网是线上娱乐领域顶级流量网站,来自菲律宾申博积攒的多年服务经验,专业团队为您打造丰富有趣的游戏世界,是闲暇之余赚取外快的最有效途径。仅需轻轻敲几下键盘,就能在申博开户成为会员,和我们一起玩。百分百真实公开的游戏机制,我们不做暗箱操作,只为让您获得利益与乐趣!

,

择要

Kaspersky研究人员近日发明一个Google Chrome浏览器的新的未知破绽应用。经Google研究人员确认,是一个0 day破绽,CVE编号为CVE-2019-13720。

研究人员将相干进击运动命名为Operation WizardOpium。现在还没法将该进击运动与已知的进击者联络在一起。但研究人员发明部份代码与Lazarus进击中的代码很相似。从被进击的站点来看,与初期DarkHotel进击运动相似。

手艺细节

进击运动运用了一种对韩语消息流派的水坑情势的注入。进击者会把歹意JS代码插进去到主页中,歹意JS代码会从长途站点加载一个剖析剧本。

CVE-2019-13720:Chrome 0-day 破绽应用

 重定向到破绽应用加载页面

一个主页index页面会从hxxp://code.jquery.cdn.behindcorona[.]com/处加载一个标记为JS tag的长途剧本。

该剧本会加载一个名为.charlie.XXXXXXXX.js的剧本。JS代码会经由过程比较浏览器的用户代办来搜检受害者的体系是不是感染,用户代办会在64位的Windows版本上运转,而非WOW64历程,并尝试猎取浏览器的用户名和版本。

该破绽会尝试应用Google Chrome浏览器的bug,剧本会搜检浏览器版本是不是大于65(当前Chrome版本为78):

在浏览器版本搜检后,剧本会实行一些到进击者掌握的服务器(behindcorona[.]com)的AJAX要求,服务器中的路径名会指向传递给剧本(xxxxxxx.php)的参数。第一个要求关于猎取一些主要信息是异常必要的。这些信息包含一些十六进制编码的字符串来通知剧本那些实在破绽应用代码块会从服务器下载,一些到图像文件的URL,图像文件嵌入了到final payload的key和解密破绽应用代码的部份块。

下载了一切块后,RC4剧本会解密和衔接一切的块,如许进击者就有了含有一切浏览器破绽应用的新的JS代码。为相识密这些部份,须要运用之前提取的RC4 key。

浏览器破绽应用剧本是经由殽杂的,在反殽杂后,研究人员发明了针对用户代办字符串的另一个搜检,此次搜检的浏览器版本是76或77。也就是说破绽应用开发者只在这些版本上事情,或其他破绽应用已用于之前的Chrome版本中了。

CVE-2019-13720:Chrome 0-day 破绽应用

殽杂的破绽应用代码

在浏览器内置的BigInt 类中,有一些函数运转的函数。BigInt 类的作用是在JS代码中举行64位的算术运算。破绽应用开发者经由过程与32位数来举行完成这些函数。BigInt 类的作用在浏览器代码中完成的速率更快。破绽应用开发者并不都运用64位,而是在小范围的数上举行运算。

CVE-2019-13720:Chrome 0-day 破绽应用

对 libssh2 整数溢出漏洞 (CVE-2019-17498)的分析

0x01 漏洞挖掘 在2019年3月18日,Canonical Ltd.的Chris Coulson披露了libssh2中的九个漏洞(CVE-2019-3855至CVE-2019-3863)。这些漏洞已在libssh2 v1.8.1中修复。当时,我的同事Pavel Avgustinov注意到,修复漏洞的报告在LGTM上引入了多个新告警。这些告警是由于像下面的代码:  if((p_len = _libssh2_get_c_string(&buf, &p)) < 0) 问题出现在_libssh2_get_c_string返回 -1是一个error code,但是p_len没有符号,因此错误条件将被忽略。libssh2团队已经在后面的的报告中修复了这

对64位数字举行处置惩罚的代码段

在实在代码中有许多的函数和变量并没有运用。也就是说这些代码应该是用来调试的,或还没有效于生产中。

代码的大部份运用了一些有特定浏览器组件相干的类。因为该破绽还没有被修复,本文为未引见该有破绽的组件的细节。

该破绽应用运用了2个线程之间的一个合作前提破绽,破绽的原因是因为错失了恰当的同步。破绽给了进击者一个UAF前提,因为UAF会致使破绽实行的场景。

破绽应用首先会尝试触发UAF来实行关于主要64位地点的信息泄漏。这会激发:

1、假如地点胜利泄漏,就申明破绽应用一般事情。

2、泄漏的地点会用来相识堆或栈的地点,用来处置惩罚ASLR手艺。

3、供应过搜刮四周地点来寻觅其他破绽应用的有效指针。

然后会尝试用递归函数来建立一个大对象的部份。这是经由过程一些确定性的堆规划来完成的,这对胜利的破绽应用来讲是异常主要的。同时会尝试运用堆放射手艺来运用之前UAF部份的指针。该手艺会用来激发殽杂,使进击者能够在两个位于雷同内存地区的差别的对象之间操纵。

破绽应用会尝试实行大批的操纵来分派或开释内存,以给进击者恣意的读写原语。这是用来捏造特别的对象的,该对象能够与WebAssembly 和FileReader一起来实行嵌入shellcode payload的代码实行。

CVE-2019-13720:Chrome 0-day 破绽应用

 第一阶段shellcode

Payload剖析

Final payload是以加密的二进制文件(worst.jpg)下载的,同时也是shellcode解密的。

CVE-2019-13720:Chrome 0-day 破绽应用

加密的payload – worst.jpg

解密后,歹意软件模块会以updata.exe的情势开释到磁盘中并实行。为了完成驻留,歹意软件会在Windows使命设计器中装置使命。

Payload installer是一个RAR SFX文件,含有以下信息:

· 文件大小: 293,403
· MD5: 8f3cd9299b2f241daf1f5057ba0b9054
· SHA256: 35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd

压缩文件中含有2个文件:

MD5: 27e941683d09a7405a9e806cc7d156c9
SHA256: 8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48

· 文件名: msdisp64.exe
MD5: f614909fbd57ece81d00b01958338ec2
SHA256: cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb

这两个文件的编译时候是雷同的,时候戳为 2019年10月8日01:49:31。
主模块msdisp64.exe会尝试从硬编码的C2服务器集下载下一阶段。下一阶段位于C2服务器的文件夹名为受害者盘算机名的文件夹中,所以进击者就有了哪些盘算机受感染了,并将下一阶段模块放在C2服务器的特定文件夹中。

本文翻译自:https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2019-13720:Chrome 0-day 破绽应用
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址