20:59
9/5/2011

Chłopaki z Vupena poinformowali, że udało im się ominąć zabezpieczenia wbudowane w przeglądarkę Google Chrome. Zaprezentowany przez nich exploit omija zarówno wbudowany w Chrome sandbox jak i mechanizmy ochronne DEP i ASLR.

Google Chrome pwnd!

Exploit działa na wszystkich wersjach Windowsa (32- i 64-bitowych). Vupen podkreślił, że nie ujawni publicznie kodu exploita — będzie on jednak dostępny odpłatnie, ale tylko dla współpracujących z firmą agencji rządowych. Reszta internetu musi nacieszyć się udostępnionym video, na którym widać exploita w akcji. Atakowana wersja przeglądarki Google Chrome to v11.0.696.65 działająca na Microsoft Windows 7 SP1 (x64):

Po wejściu na stronę, exploit powoduje ściągnięcie kalkulatora i jego uruchomienie poza “piaskownicą” (ang. sandbox). Oczywiście kalkulator to tylko niegroźny przykład — zamiast niego, atakujący są w stanie uruchomić dowolne inne oprogramowanie. Warto zwrócić uwagę na to, że przeglądarka nie zawiesza się po odpaleniu payloadu. Exploity są tak naprawdę 2; pierwszy omija DEP i ASLR (memory corruption; integrity level: low), a drugi uruchamia kod poza sandboksem (design flaw; integrity level: medium). Dodatkowe procesy po uruchomieniu exploita mogą wskazywać na to, że wykorzystana została dziura w pluginie Flasha.

Chrome Fail

Google Chrome

Pracownicy Vupena podkreślają, że Google Chrome do tej pory jako jedyna przeglądarka nie została pokonana w dorocznym konkursie Pwn2Own. Warto również wspomnieć, że kiedy kilka dni temu Vupen oświadczył na Twitterze, że pracuje nad exploitem na Chrome, Chris Evans z Google życzył powodzenia… ;-) Google potwierdziło, że nie zna szczegółów błędu. Obstawiamy kiedy wypuszczą aktualizację?

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Też mam skrót klawiszowy do kalkulatora : )

  2. Znając Google, to raczej szybko – o ile Vupen będzie z nimi współpracował ;)

  3. A to feler. Chowam Chrome do VM’a.

  4. Nie ma rzeczy idealnych. Moim zdaniem i tak należy pochwalić Chrome’a, że utrzymał się tak długo przyjmując miano najbezpieczniejszej przeglądarki. Swoją drogą gościom z Vupena należą się gratulacje za dobrą robotę.

  5. W artykule jest sciagnac i uruchomic, ale czy nie chodzi przypadkiem jedynie o uruchomienie?
    osobne pytanie czy sama dziura pozwala na sciagniecie i uruchomienie czy tylko na uruchomienie kodu bedacego juz na dysku.

    • Jeśli wierzyć Vupenowi (a nie ma podstaw, żeby nie wierzyć), to w przypadku powyższego exploita calc.exe ściągany jest z zewnętrznego serwera.

    • mozliwosc uruchomienia dowolnego programu lokalnie pociaga za soba mozliwosc sciagniecia i uruchomienia, wiec to rozroznienie jest nieuzyteczne.

    • No dobrze, ściągana jest dowolna aplikacja, ale musi jeszcze nastąpić zgoda użytkownika, gdyby program rościł sobie większe prawa niż taki kalkulator.

    • @Piotr – exploity potrafią sobie podnieść uprawnienia, ze zwykłego usera do usługi systemowej lub nawet do administratora. A poza tym wielu uzytkowników pracuje wyłacznie na koncie administratora więc w wielu przypadkach eskalacja uprawnień nawet nie jest potrzebna! ;)

    • @Piotr:
      podniesie uprawnien to zupelnie inna kwestia, ktora nie ma z chrome nic wspolnego.

  6. Chwileczkę, wydawało mi się że w tym roku złamane nie zostały Chromi i Firefox. Angielska Wikipedia też tak twierdzi. Z tekstu zaś wynika jakoby Firefox rzekomo padł… to jak to w końcu było na prawdę?

    • ale jest napisane “dorocznym”, a nie “tegorocznym” w latach ubiełych FF padał :)

  7. Dokładnie o tym samym pomyślałem ;)
    Też mam skrót do calc.exe w klawiaturze :D

  8. podkreślić należy że Opera nie brała udziału w tym konkursie i, co za tym idzie, też nie padła

  9. “że wykorzystana została dziura w pluginie Flasha.” no i wszystko jasne ;)

  10. Ciekawe, czyżby plugin flasha nie pracował całkowicie w sandboxie? Tak czy siak ogromny szacunek dla człowieka. “He have balls”

  11. @adibol / Morpheus:
    flash / pdf sa sandboxowane tak samo jak zwykly proces karty, wiec ucieczka z procesu plugina jest tak samo dobra, jak kazda inna. za to np. java nie jest sandboxowana, wiec kazdy exploit na jave jest tez exploitem na chrome :)

  12. od 1:01 widać w kawałku procexp, że zużycie RAMu przez Chrome’a znacząco wzrosło (~440MB)

  13. W artykule jest napisane że to Microsoft Windows 7 SP1, jednak system na zamieszczonym materiale wygląda inaczej, bardziej jak XP stylizowany na 7.

    • Tzn? Właśnie tak wygląda Windows 7… może nie używałeś nigdy? :>

    • To jest 7 z wyłączonymi efektami przezroczystości.

    • @morsik, logo Windows wystające nad pasek, godzina bez daty, ikonki z nazwami programu na pasku zadań. U mnie nawet z wyłączonym Aero wyglądało to inaczej.

    • Coś musiało Ci się pomylić ;)
      To jest Win7 http://screenshooter.net/5204722/10_05_2011__21_58_28

    • Ale macie dylematy :D
      Mam W7 i wygląda dokładnie tak samo jak na filmie (no może poza kolorem paska :P)
      Przestańcie szukać dziury w całym…

    • Ale nie ważne jakbyś bardzo stylizował swojego XP na Windows 7, to integrity levels się od tego nie pojawią, bo pojawiły się dopiero od Windows Vista.

  14. @lukasz: możesz zmniejszyc wielkość paska i można właczyć tekst. Jak pasek będzie mniejszy niż “normalnie” to wtedy ta ikona właśnie wystaje.
    Godzina bez daty… hmm… Podejrzewam, że to wina właśnie tego, że pasek jest zmniejszony – ale tu już nie wiem – nie korzystam z windowsa, w szkole miewam styczność z 7 stąd wiem jak to jest z tym paskiem.
    Zresztą sam zobacz w opcjach menu start.

  15. Chcą byśmy zgadli?:P Dali sporo wskazówek :>
    No Action Script – no problem :P (leaked the load adress of flash10k.ocx lub czegoś innego)
    No Atom Confusion – no problem (JIT – Verification Flow != Execution Flow) => ROP
    Inaczej mówiąc No Flash => no problem ;P
    Od kontrolowanego wykonywania kodu w piaskownicy i możliwości ujawnienia adresów w pamięci pewnie już nie jest tak daleko do ucieczki i uruchomienia kalkulatora.

    Szkoda, że w takich sytuacjach nikt nie załącza podziękowań dla Adobe ;>

  16. Dlatego w Chrome mam “Kliknij, aby odtworzyć” i flash się nie uruchamia na żadnej stronce dopóki sam nie kliknę :)

  17. […] zapewne wiecie pojawiła się informacja o skutecznym ataku na przeglądarkę Chrome (np. tu: Dziura i exploit na Google Chrome [0day] i u źródła: Google Chrome Pwned by VUPEN aka Sandbox/ASLR/DEP Bypass). Oczywiście całość […]

  18. co tu komentować wyskoczył chgrom zza krzaka został przetestowany prze zemnie i działając w moim fachu nikomu nie polecę, i właśnie pierwsze co mnie drażniło “wtyk flash uległ awarii”, kiepska intuicyjność, po co kryć ustawienia pod poleceniem w adresie przeglądarki jak wszyscy o tym wiedzą (tak myślę =D), itd szkoda słów.

  19. […] Właśnie ukazała się nowa wersja przeglądarki Chrome. Łata dwa poważne błędy i uaktualnia Flash Playera — nie wiadomo jednak dalej, co z tym błędem. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.