9/5/2011
Chłopaki z Vupena poinformowali, że udało im się ominąć zabezpieczenia wbudowane w przeglądarkę Google Chrome. Zaprezentowany przez nich exploit omija zarówno wbudowany w Chrome sandbox jak i mechanizmy ochronne DEP i ASLR.
Google Chrome pwnd!
Exploit działa na wszystkich wersjach Windowsa (32- i 64-bitowych). Vupen podkreślił, że nie ujawni publicznie kodu exploita — będzie on jednak dostępny odpłatnie, ale tylko dla współpracujących z firmą agencji rządowych. Reszta internetu musi nacieszyć się udostępnionym video, na którym widać exploita w akcji. Atakowana wersja przeglądarki Google Chrome to v11.0.696.65 działająca na Microsoft Windows 7 SP1 (x64):
Po wejściu na stronę, exploit powoduje ściągnięcie kalkulatora i jego uruchomienie poza “piaskownicą” (ang. sandbox). Oczywiście kalkulator to tylko niegroźny przykład — zamiast niego, atakujący są w stanie uruchomić dowolne inne oprogramowanie. Warto zwrócić uwagę na to, że przeglądarka nie zawiesza się po odpaleniu payloadu. Exploity są tak naprawdę 2; pierwszy omija DEP i ASLR (memory corruption; integrity level: low), a drugi uruchamia kod poza sandboksem (design flaw; integrity level: medium). Dodatkowe procesy po uruchomieniu exploita mogą wskazywać na to, że wykorzystana została dziura w pluginie Flasha.
Pracownicy Vupena podkreślają, że Google Chrome do tej pory jako jedyna przeglądarka nie została pokonana w dorocznym konkursie Pwn2Own. Warto również wspomnieć, że kiedy kilka dni temu Vupen oświadczył na Twitterze, że pracuje nad exploitem na Chrome, Chris Evans z Google życzył powodzenia… ;-) Google potwierdziło, że nie zna szczegółów błędu. Obstawiamy kiedy wypuszczą aktualizację?
Też mam skrót klawiszowy do kalkulatora : )
Znając Google, to raczej szybko – o ile Vupen będzie z nimi współpracował ;)
A to feler. Chowam Chrome do VM’a.
Nie ma rzeczy idealnych. Moim zdaniem i tak należy pochwalić Chrome’a, że utrzymał się tak długo przyjmując miano najbezpieczniejszej przeglądarki. Swoją drogą gościom z Vupena należą się gratulacje za dobrą robotę.
W artykule jest sciagnac i uruchomic, ale czy nie chodzi przypadkiem jedynie o uruchomienie?
osobne pytanie czy sama dziura pozwala na sciagniecie i uruchomienie czy tylko na uruchomienie kodu bedacego juz na dysku.
Jeśli wierzyć Vupenowi (a nie ma podstaw, żeby nie wierzyć), to w przypadku powyższego exploita calc.exe ściągany jest z zewnętrznego serwera.
mozliwosc uruchomienia dowolnego programu lokalnie pociaga za soba mozliwosc sciagniecia i uruchomienia, wiec to rozroznienie jest nieuzyteczne.
No dobrze, ściągana jest dowolna aplikacja, ale musi jeszcze nastąpić zgoda użytkownika, gdyby program rościł sobie większe prawa niż taki kalkulator.
@Piotr – exploity potrafią sobie podnieść uprawnienia, ze zwykłego usera do usługi systemowej lub nawet do administratora. A poza tym wielu uzytkowników pracuje wyłacznie na koncie administratora więc w wielu przypadkach eskalacja uprawnień nawet nie jest potrzebna! ;)
@Piotr:
podniesie uprawnien to zupelnie inna kwestia, ktora nie ma z chrome nic wspolnego.
Chwileczkę, wydawało mi się że w tym roku złamane nie zostały Chromi i Firefox. Angielska Wikipedia też tak twierdzi. Z tekstu zaś wynika jakoby Firefox rzekomo padł… to jak to w końcu było na prawdę?
ale jest napisane “dorocznym”, a nie “tegorocznym” w latach ubiełych FF padał :)
Dokładnie o tym samym pomyślałem ;)
Też mam skrót do calc.exe w klawiaturze :D
podkreślić należy że Opera nie brała udziału w tym konkursie i, co za tym idzie, też nie padła
“że wykorzystana została dziura w pluginie Flasha.” no i wszystko jasne ;)
Ciekawe, czyżby plugin flasha nie pracował całkowicie w sandboxie? Tak czy siak ogromny szacunek dla człowieka. “He have balls”
@adibol / Morpheus:
flash / pdf sa sandboxowane tak samo jak zwykly proces karty, wiec ucieczka z procesu plugina jest tak samo dobra, jak kazda inna. za to np. java nie jest sandboxowana, wiec kazdy exploit na jave jest tez exploitem na chrome :)
od 1:01 widać w kawałku procexp, że zużycie RAMu przez Chrome’a znacząco wzrosło (~440MB)
W artykule jest napisane że to Microsoft Windows 7 SP1, jednak system na zamieszczonym materiale wygląda inaczej, bardziej jak XP stylizowany na 7.
Tzn? Właśnie tak wygląda Windows 7… może nie używałeś nigdy? :>
To jest 7 z wyłączonymi efektami przezroczystości.
@morsik, logo Windows wystające nad pasek, godzina bez daty, ikonki z nazwami programu na pasku zadań. U mnie nawet z wyłączonym Aero wyglądało to inaczej.
Coś musiało Ci się pomylić ;)
To jest Win7 http://screenshooter.net/5204722/10_05_2011__21_58_28
Ale macie dylematy :D
Mam W7 i wygląda dokładnie tak samo jak na filmie (no może poza kolorem paska :P)
Przestańcie szukać dziury w całym…
Ale nie ważne jakbyś bardzo stylizował swojego XP na Windows 7, to integrity levels się od tego nie pojawią, bo pojawiły się dopiero od Windows Vista.
@lukasz: możesz zmniejszyc wielkość paska i można właczyć tekst. Jak pasek będzie mniejszy niż “normalnie” to wtedy ta ikona właśnie wystaje.
Godzina bez daty… hmm… Podejrzewam, że to wina właśnie tego, że pasek jest zmniejszony – ale tu już nie wiem – nie korzystam z windowsa, w szkole miewam styczność z 7 stąd wiem jak to jest z tym paskiem.
Zresztą sam zobacz w opcjach menu start.
Chcą byśmy zgadli?:P Dali sporo wskazówek :>
No Action Script – no problem :P (leaked the load adress of flash10k.ocx lub czegoś innego)
No Atom Confusion – no problem (JIT – Verification Flow != Execution Flow) => ROP
Inaczej mówiąc No Flash => no problem ;P
Od kontrolowanego wykonywania kodu w piaskownicy i możliwości ujawnienia adresów w pamięci pewnie już nie jest tak daleko do ucieczki i uruchomienia kalkulatora.
Szkoda, że w takich sytuacjach nikt nie załącza podziękowań dla Adobe ;>
Dlatego w Chrome mam “Kliknij, aby odtworzyć” i flash się nie uruchamia na żadnej stronce dopóki sam nie kliknę :)
[…] zapewne wiecie pojawiła się informacja o skutecznym ataku na przeglądarkę Chrome (np. tu: Dziura i exploit na Google Chrome [0day] i u źródła: Google Chrome Pwned by VUPEN aka Sandbox/ASLR/DEP Bypass). Oczywiście całość […]
co tu komentować wyskoczył chgrom zza krzaka został przetestowany prze zemnie i działając w moim fachu nikomu nie polecę, i właśnie pierwsze co mnie drażniło “wtyk flash uległ awarii”, kiepska intuicyjność, po co kryć ustawienia pod poleceniem w adresie przeglądarki jak wszyscy o tym wiedzą (tak myślę =D), itd szkoda słów.
[…] Właśnie ukazała się nowa wersja przeglądarki Chrome. Łata dwa poważne błędy i uaktualnia Flash Playera — nie wiadomo jednak dalej, co z tym błędem. […]