Graças ao subsistema Kaspersky Exploit Prevention em nossos produtos, recentemente descobrimos um exploit – programa malicioso que permite a invasores ter acesso não-autorizado ao computador – por meio de uma vulnerabilidade no navegador Google Chrome. Se tratava de uma vulnerabilidade 0-day, até então desconhecida pelos desenvolvedores. Agora é chamada CVE-2019-13720.
Nós reportamos a vulnerabilidade para o Google, que a solucionou na última atualização do Chrome. A seguir, descrevemos como o ataque se aproveita dessa brecha.
WizardOpium: Más notícias em coreano
O ataque, que nós denominamos Operação WizardOpium, começa com um site de notícias coreano no qual os cibercriminosos injetaram um código malicioso. Ele carrega um script de outra página, que checa se o sistema é passível de ser infectado e qual navegador é utilizado pela vítima (cibercriminosos estão interessados no Chrome para Windows, versão 65 ou posterior).
Se o sistema operacional e o navegador cumprirem os requisitos, o script baixa o exploit por fragmentos, depois faz a montagem e a descriptografa. A primeira coisa que o exploit faz é verificar a versão do Chrome. Nesse ponto, ele se torna mais seletivo e roda exclusivamente na 76 ou 77. Talvez o kit de ferramentas dos cibercriminosos incluam outras ameaças para as diferentes versões do navegador, mas não podemos afirmar.
Após encontrar o que busca, o exploit tenta aproveitar a vulnerabilidade CVE-2019-13720, do tipo use-after-free, que se baseia no uso indevido da memória do computador. Ao manipular a memória, o exploit obtém permissão para ler e escrever dados no dispositivo, e imediatamente faz o download, descriptografa e roda o malware. Este último pode variar segundo o usuário.
Os produtos da Kaspersky Lab detectam a ameaça com o diagnóstico Exploit.Win32.Generic. Mais detalhes técnicos estão disponíveis na postagem do Securelist.
Atualize o Chrome
Mesmo que você não leia sites de notícias coreanos, recomendamos que você atualize imediatamente o Chrome para a versão 78.0.3904.87. Já existe um exploit que usa essa vulnerabilidade, o que significa que outros podem surgir. É provável que isso aconteça tão logo os detalhes da brecha de segurança se espalhem.
O Google disponibilizou uma atualização do Chrome para Windows, macOS e Linux. Como o Chrome atualiza automaticamente, deve bastar a reinicialização de seu navegador.
Tenha certeza que a atualização foi instalada. Para fazer isso, clique nos 3 pontos verticais no canto superior direito do navegador (“Personalizar e Controlar o Google Chrome”), e selecione Ajuda → Sobre o Google Chrome. Se o número que aparece é o 78.0.3904.87 ou mais recente, tudo está em ordem. Se não, então o Chrome vai buscar e instalar uma atualização disponível (você vai ver um círculo girando à esquerda), e depois de alguns segundos o número da versão mais recente vai aparecer na tela. Daí, clique em Reiniciar.