Les solutions de sécurité automatisées de Kaspersky ont découvert une nouvelle vulnérabilité exploitée dans le célèbre navigateur Web Chrome de Google. Kaspersky a attribué ce code de vulnérabilité CVE-2019-13720 et a rapidement informé Google, qui a publié un correctif logiciel, soulignant qu’il traitait de ce que l’on appelle l’écart « zero-day ».
Les vulnérabilités, connues sous le nom de zero-day, sont d’anciens bogues logiciels inaperçus que les attaquants peuvent exploiter pour infliger des dommages lourds et inattendus aux systèmes.
La nouvelle exploitation est utilisée dans des attaques par injection à base d’eau, dont l’une visait un portail d’informations en coréen. Un code malveillant écrit en JavaScript a été inséré dans la page d’accueil. Celui-ci charge à son tour un script descriptif depuis un site distant pour vérifier que le système de la victime est infecté en vérifiant les copies des informations d’identification de l’utilisateur enregistrées dans le navigateur. Le spoiler tente d’exploiter cette erreur via le navigateur Chrome. Le code vérifie que la version utilisée est 65 ou une version ultérieure.
L’exploit donne le mode Use-After-Free (UaF), ce qui est très dangereux car cela peut conduire à des scénarios pour l’exécution de code.
L’exploitation découverte a été utilisée dans un cas que les experts de Kaspersky ont appelé le processus WizardOpium. Certaines similitudes dans le logiciel suggèrent un lien possible entre cette campagne et les attaques de Lazarus. En outre, le profil du site Web ciblé est similaire à celui trouvé lors d’attaques précédentes de DarkHotel, qui avaient récemment publié une attaque trompeuse semblable à une campagne.
La vulnérabilité exploitée a été révélée par la technologie Kaspersky Anti-Exploitation, incluse dans la plupart des produits de sécurité de l’entreprise. Anton Ivanov, expert en sécurité numérique chez Kaspersky, a déclaré que le fait de retrouver la vulnérabilité zéro dans Chrome et de l’utiliser dans un état réaliste prouve une fois encore que «la coopération entre la communauté de la sécurité et les développeurs de logiciels et l’investissement continu dans les technologies de prévention de l’exploitation garantissent le maintien de À l’abri d’attaques subversives cachées.