Correção da vulnerabilidade CVE-2024-0517 no Google Chrome

A CVE-2024-0517 é uma vulnerabilidade de escrita fora dos limites no motor V8 JavaScript do Google Chrome anterior à versão 120.0.6099.224, que permite a atacantes remotos explorar a corrupção de heap através de uma página HTML criada. A vulnerabilidade foi relatada pela primeira vez por Toan (Suto) Pham da Qrious Secure. 

Os atacantes podem alojar um sítio Web que contém uma página HTML criada e enganar os utilizadores para que acedam ao mesmo através de e-mails de phishing ou redes sociais. Quando os utilizadores visitam o site utilizando uma versão vulnerável do Google Chrome, o código malicioso incorporado executa comandos arbitrários. 

Os atacantes podem alojar um sítio Web que contém uma página HTML criada e enganar os utilizadores para que acedam ao mesmo através de e-mails de phishing ou redes sociais. Quando os utilizadores visitam o site utilizando uma versão vulnerável do Google Chrome, o código malicioso incorporado executa comandos arbitrários. 

O Maglev, um compilador de otimização no V8, melhora a execução do código e a atribuição de memória. O Maglev é executado apenas quando o código é executado frequentemente e marcado como "quente", indicando a necessidade de uma execução mais rápida através da compilação em vez de uma interpretação linha a linha mais lenta. 

Normalmente, as alocações ocorrem em regiões de memória não contíguas, levando ao uso esparso e ineficiente da memória. Para resolver este problema, o V8 emprega uma técnica chamada alocação dobrada, que aloca múltiplas variáveis de forma contínua e simultânea. O Maglev também optimiza as atribuições utilizando a atribuição dobrada no seu progresso. 

Para limpar as regiões de memória não utilizadas, o V8 emprega uma técnica de coleta de lixo geracional (GC), dividindo a memória em dois espaços: a geração jovem e a geração antiga. Além disso, há dois coletores de lixo: o coletor de lixo menor, que é responsável pela limpeza do espaço jovem, e o coletor de lixo maior, que lida com a limpeza do espaço antigo. A geração jovem é a área da memória onde os objetos recém-criados são inicialmente alocados e a geração antiga é uma região da memória onde os objetos de longa duração são armazenados. Os objectos que sobreviveram a vários ciclos menores do GC na geração jovem são eventualmente promovidos para a geração antiga. 

A vulnerabilidade surge quando um objeto é criado a partir de uma classe herdada de uma classe de base sem construtor explicitamente definido (construtor de base por defeito) e outro objeto é subsequentemente criado. Devido à atribuição dobrada, a atribuição do primeiro objeto pode ser seguida pela atribuição do segundo objeto. Se ocorrer um evento como a recolha de lixo entre estas duas atribuições, pode surgir uma vulnerabilidade de confusão de tipos.

Os Graduate Fellows OPSWAT efectuaram uma análise detalhada do fluxo de trabalho V8 durante o processo de atribuição e determinaram que as seguintes funções são invocadas durante este processo: 

Para explorar esta vulnerabilidade, os bolseiros de pós-graduação OPSWAT criaram instâncias WebAssembly que continham código de shell e tentaram desencadear confusão de tipos pelo GC para controlar a memória e executar o código de shell: 

Durante a inicialização, primeiro definimos uma matriz (_arrayObject) contendo objectos vazios. Em seguida, construímos uma instância da classe filha, bem como um coletor de lixo de gatilho. Finalmente, definimos outro array com um número de ponto flutuante, chamado _arrayDouble. 

Depois de desencadear com sucesso a confusão de tipos, a execução do código de shell requer a leitura da memória e a substituição da memória num endereço controlado. Para isso, criámos primitivas de leitura e escrita. As primitivas de exploração tirarão partido dos metadados nos objectos para nos darem regiões de memória de leitura/escrita arbitrárias e usá-las para executar código arbitrário. 

Em seguida, criámos duas instâncias do WebAssembly: uma para armazenar o código da shell e outra para o ativar. Para evitar escrever diretamente o código shell na memória da instância do WebAssembly através de primitivas de leitura e escrita, definimos alguns valores constantes de ponto flutuante na instância do WebAssembly. 

Usando primitivas de leitura e escrita, ajustamos o ponteiro da tabela de saltos da segunda instância do WebAssembly para saltar alguns bytes do código compilado de constantes na primeira instância do WebAssembly, de modo a que as constantes de vírgula flutuante sejam interpretadas como o nosso shellcode pretendido:

Finalmente, depois de desencadear a confusão de tipos e usar primitivas de leitura/escrita para controlar os ponteiros da tabela de saltos das instâncias do WebAssembly, invocámos a função exportada da segunda instância do WebAssembly, que faz com que o código da shell na primeira instância do WebAssembly seja executado. 

O shellcode que estamos a utilizar foi concebido para terminar todos os processos numa máquina Linux, como através do seguinte comando: 

Para simular esta exploração num cenário real, os bolseiros OPSWAT criaram uma página HTML maliciosamente elaborada. 

MetaDefender Endpoint™ foi utilizado para mitigar proactivamente este CVE, aproveitando a sua capacidade de "Aplicação Vulnerável". A solução identifica e exibe efetivamente todos os CVEs associados aos aplicativos do Google Chrome no ambiente do endpoint. Para neutralizar a ameaça, os utilizadores podem desinstalar imediatamente o Chrome ou aplicar o patch de segurança mais recente. Ao implementar qualquer uma das contramedidas, o CVE é totalmente contido, reduzindo significativamente o risco de um ataque informático bem sucedido no ponto final.

Descubra porque é que as organizações, instituições e entidades de todo o mundo confiam no MetaDefender Endpoint para proteger os terminais críticos. Fale com um especialista hoje para saber mais e veja por si mesmo com uma demonstração gratuita.