Dank des integrierten Subsystems unserer Produkte, Kaspersky Exploit Prevention, konnten wir kürzlich einen Exploit entdecken, mit dem Angreifer über eine Sicherheitsanfälligkeit im Google-Chrome-Browser unbefugten Zugriff auf den Computer ihrer Opfer erhalten. Zunutze machte sich dieser Exploit eine Zero-Day-Schwachstelle, die den Entwicklern bislang unbekannt war. Der Sicherheitslücke wurde die Kennung CVE-2019-13720 zugeordnet.
Selbstverständlich haben wir Google unverzüglich über die Schwachstelle unterrichtet, die mit dem jüngsten Chrome-Update gepatcht wurde. Im Anschluss erklären wir Ihnen kurz, was hinter diesem Angriff steckt.
WizardOpium: Schlechte Nachrichten in Korea
Die Angriffe, die wir auf den Namen Operation WizardOpium getauft haben, begannen auf einer koreanischen Nachrichtenseite, auf der die Angreifer bösartigen Code injizierten. Dieser ist für die Ausführung eines Skripts einer Drittanbieterseite verantwortlich, um die Eignung des Systems für den Angriff und die Browser-Version des Opfers zu überprüfen (die Cyberkriminellen interessieren sich ausschließlich für Versionen von Google Chrome für Windows, die nicht älter als Version 65 sind).
Wenn Betriebssystem und Browser die Anforderungen erfüllen, lädt das Skript Stück für Stück einen Exploit herunter, der anschließend erneut zusammengesetzt und entschlüsselt wird. Danach wird erneut die aktuell installierte Version von Google Chrome überprüft. An dieser Stelle angelangt, wird der Exploit zunehmend wählerischer und funktioniert ausschließlich mit den Chrome-Versionen 76 oder 77. Möglicherweise enthält das Toolkit der Cyberkriminellen andere Exploits für weitere Versionen des Browsers, mit Sicherheit können wir dies allerdings derzeit noch nicht sagen.
Nachdem der Exploit das gefunden hat, wonach er gesucht hat, versucht er, die Use-After-Free-Schwachstelle CVE-2019-13720 auszunutzen, die auf einer nicht ordnungsgemäßen Verwendung des Computerspeichers basiert. Durch die Manipulation des Speichers erhält der Exploit die Berechtigung zum Lesen und Schreiben von Daten auf das Gerät, das daraufhin umgehend zum Download, Entschlüsseln und Ausführen der Malware verwendet wird.
Die Produkte von Kaspersky identifizieren den Exploit wie folgt: Exploit.Win32.Generic. Weitere technische Details finden Sie zudem in unserem Beitrag auf Securelist.
Chrome-Update
Auch, wenn Sie kein Fan koreanischer Nachrichtenseiten sind, empfehlen wir Ihnen, Ihren Chrome-Browser umgehend auf die Version 78.0.3904.87 zu aktualisieren. Es gibt bereits einen Exploit der sein Unwesen in freier Wildbahn treibt; und er wird vermutlich nicht der einzige seiner Spezies bleiben.
Google hat bereits ein Chrome-Update für Windows, macOS und Linux veröffentlicht. Für gewöhnlich aktualisiert sich Chrome automatisch – ein Neustart des Browsers sollte also genügen.
Dennoch sollten Sie auf Nummer sicher gehen und erneut überprüfen, ob das Update tatsächlich installiert wurde: Klicken Sie dazu auf die drei vertikalen Punkte in der Menüleiste oben rechts und wählen Sie den Unterpunkt „Hilfe“ → „Über Google Chrome“. Bei Versionen ab 78.0.3904.87 müssen Sie sich keinerlei Gedanken machen. Verfügen Sie über eine ältere Version, sucht Chrome automatisch nach verfügbaren Updates. Angezeigt wird dies über den kleinen rotierenden Kreis auf der linken Seite. Nachdem die Nummer der jüngstens Chrome-Version auf dem Bildschirm erscheint, sollten Sie den Browser neustarten.