Microsoft opisuje exploita na Chrome i przy okazji zachwala Edge

Microsoft opisuje exploita na Chrome i przy okazji zachwala Edge

Autor: Krzysztof Sulikowski

Opublikowano: 10/19/2017, 3:04 PM

Liczba odsłon: 2091

Microsoft nie ma lekkiego życia, gdy na luki w jego produktach zasadza się Google. Z jednej strony firma może liczyć na darmowe informacje o podatnościach do załatania, z drugiej jednak zespół Google Project Zero stawia rygorystyczne wymagania co do czasu udostępnienia łatek i, jeśli te nie są spełnione, publicznie karci giganta za opieszałość. Tym razem role się odwróciły i to Microsoft odkrył podatność w przeglądarce Chrome, co stało się pretekstem do dalszych przytyków.

Microsoft opublikował szczegóły exploita na Chrome polegającego na zdalnym wykonaniu kodu. Podatność opatrzono sygnaturą CVE-2017-5121. Za jego odnalezienie odpowiada wewnętrzny zespół Offensive Security Research (OSR), który skorzystał z metody fuzzingu, często używanej również przez Google. Dokładnie rzecz biorąc, badacze skorzystali z ExprGen, fuzzera JavaScript napisanego przez zespół odpowiedzialny za Chakrę - własny silnik JS Microsoftu. Dzięki temu udało się wykorzystać podatności związane z pamięcią, takie jak przepełnienie bufora, i doprowadzić do RCE, czyli zdalnego wykonania kodu.

Chrome CVE-2017-5121

Offensive Security Research (OSR) doszedł do kilku wniosków:

  • "Nasze odkrycie CVE-2017-5121 wskazuje, że możliwe jest odnalezienie zdalnie wykonywalnych exploitów na podatności w nowoczesnych przeglądarkach;
  • Brak zabezpieczeń przed RCE oznacza, że droga od naruszenia pamięci do exploita może być krótka;
  • Wykonano kilka testów zabezpieczeń wewnątrz sandboksa, w rezultacie czego exploit RCE mógł m.in. obejść zasady Same Origin Policy (SOP), dając zdalnie atakującym dostęp do usług online ofiary, takich jak email, dokumenty i sesje bankowe, oraz zapisanych uwierzytelnień;
  • Proces serwisowania podatności Chrome może prowadzić do publicznego ujawnienia szczegółów luk bezpieczeństwa, nim poprawki dotrą do klientów".

Warto wyjaśnić, czego dotyczy ostatni z zarzutów. Jordan Rabet z zespołu Microsoft Offensive Security Research tłumaczy, że choć poprawkę opracowano dość szybko, bo w 4 dni od wstępnego raportu, to jej kod źródłowy opublikowano w serwisie GitHub jeszcze przed jej udostępnieniem dla użytkowników, a to nie jest zbyt rozsądne. "Niektóre komponenty Microsoft Edge, takie jak Chakra, też są otwartoźródłowe. Wierzymy jednak, że ważne jest, by dostarczać klientom poprawki przed podaniem ich do publicznej wiadomości, dlatego aktualizujemy repozytoria git Chakry dopiero po dostarczeniu tych poprawek" - dodaje Rabet. Za znalezienie luki Google wypłacił odkrywcom 15 tys. dolarów nagrody, które Microsoft przeznaczył na cele charytatywne.