08 de julho de 2022

Google revela que ataques zero-day estão explorando CVEs em seu navegador, o Google Chrome, e recomenda atualização de software para usuários do Chrome no Windows e Android

O Google lançou uma atualização de seu navegador, o Chrome 103, para desktops Windows. A atualização corrige uma falha na implementação do WebRTC – a qual já vem sendo explorada por cibercriminosos.

O problema que a atualização 103.0.5060.114 do Chrome para Windows busca resolver é um “heap overflow no WebRTC”, isto é, quando o buffer alocado na porção de heap da memória pode ser substituído de forma maliciosa por criminosos cibernéticos.

WebRTC é o padrão web aberto para a construção de aplicativos de vídeo e voz para comunicações em tempo real (Real Time Communication, ou RTC). É habilitado por JavaScript no navegador e o padrão é suportado por todos os principais softwares de navegação.

Apesar do alerta, o Google não ofereceu nenhum detalhe sobre o bug, além do identificador CVE-2022-2294, que tem uma classificação de gravidade “alta” e que foi relatada pela equipe da Avast Threat Intelligence no dia 1º de julho de 2022.

A gigante da tecnologia, no entanto, reconheceu que há uma exploração para a vulnerabilidade circulando entre os cibercriminosos.

“O Google está ciente de que existe um exploit para o CVE-2022-2294”, diz uma postagem no blog da empresa, que anuncia a nova versão do Chrome para desktop

O Google também lançou uma correção para a mesma falha do WebRTC no Chrome para Android.

Por que um heap overflow é grave?

O MITREdiretriz para classificar e descrever ataques cibernéticos – diz o seguinte sobre heap overflow de buffers: “esses comprometimentos de buffer baseados em heap overflow podem ser usados ​​para sobrescrever funções de memória, apontando-as para o código do invasor.

Mesmo em aplicativos que não usam explicitamente esse recurso, o tempo de execução geralmente deixa muitos function pointers na memória. Por exemplo, métodos de objeto em C++ são geralmente implementados usando function pointers. Mesmo em programas C, geralmente há uma tabela de compensação global usada pelo tempo de execução subjacente.”

O comprometimento desses function pointers pode levá-los a redirecionar para códigos maliciosos.

A questão dos bugs explorados em zero-days

Sobre não divulgar todas as informações a respeito da CVE, o Google diz que não costuma revelar detalhes de bugs até que a maioria dos usuários seja atualizada com uma correção, como medida de segurança.

A empresa também pode reter restrições se o bug existir em uma biblioteca de terceiros, da qual outros projetos dependem, mas cujas propriedades ainda não foram corrigidas.

A atualização também corrige duas outras falhas de alta gravidade: a CVE-2022-2295, que é uma Type Confusion no mecanismo JavaScrip V8 do Chrome, e a CVE-2022-2296, que é um problema de memória use after release no Chrome OS Shell.

Em 15 de junho de 2022, o projeto de segurança do Google, Google Project Zero (GPZ), contava 18 zero-day este ano que foram explorados por cibercriminosos. Dois desses afetaram o Chrome.

A pesquisadora do GPZ, Maddie Stone, disse que pelo menos metade dos zerp-day que o projeto viu desde o início de 2022 “poderia ter sido evitado com testes de correção e regressão mais abrangentes”.

Muitos deles, ocorridos no primeiro semestre de 2022 eram apenas variantes de bugs corrigidos anteriormente no Microsoft Windows, Apple iOS, WebKit e Google Chrome. Como ela observou, o problema-raiz não foi resolvido, permitindo que os invasores revisitassem o bug original por um caminho diferente.

“O objetivo é forçar os invasores a começar do zero cada vez que detectamos uma de suas explorações: eles são forçados a descobrir uma vulnerabilidade totalmente nova, eles precisam investir tempo para aprender e analisar uma nova superfície de ataque, eles devem desenvolver uma método de exploração totalmente novo. Para fazer isso de forma eficaz, precisamos de correções corretas e abrangentes”, disse a representante do GPZ.

O problema com patches incompletos é que é uma oportunidade desperdiçada de “tornar as coisas mais difíceis” para os invasores.

A empresa recomenda que todos os usuários do Google Chrome e Windows façam a atualização do navegador para a versão mais recente, a fim de evitar serem vítimas de ciberataques.

Quer manter sua rede e sua organização seguras? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?