まだパッチが当たっていないChromium脆弱性に対する概念実証(PoC)悪用コードの最近のGoogleによるリリースは、サイバーセキュリティコミュニティ全体に重大な懸念を引き起こしました。
セキュリティ研究者Lyra Rebaneによって2022年後期に最初に報告されたこの欠陥は、3年以上経った今も解決されておらず、Google Chrome、Microsoft Edge、Brave、Operaなどのchromiumベースのブラウザの数百万人のユーザーを危険にさらしています。
Googleの悪用コード欠陥
この問題は、Chromiumの内部トラッキングシステム内でPriority 1(P1)とSeverity 2(S2)に分類されており、緊急の対応が必要な高リスク脆弱性を示しています。この欠陥は、Service Workersを通じて長時間実行されるバックグラウンドダウンロードをサポートするために設計された機能であるBrowser Fetch APIに存在します。
Rebaneは、攻撃者がこの機能を悪用して、終了しない永続的なバックグラウンドタスクを作成できることを発見しました。これらのタスクにより、被害者のブラウザと攻撃者が管理するコマンド・アンド・コントロール(C2)サーバー間の継続的な通信が可能になり、効果的にブラウザが軽量ボットネットノードに変わります。
攻撃ベクトルは非常にシンプルで、悪意のあるまたは侵害されたウェブサイトにアクセスする以外のユーザーインタラクションは必要ありません。細工されたウェブページは、CSNが報告したように、無期限に実行されるバックグラウンドフェッチリクエストを開始するService Workerを登録できます。
特にMicrosoft Edgeなど特定の実装では、これらの接続はブラウザが閉じられたり、システムが再起動された後も持続する可能性があります。ユーザーが継続的な悪意のある活動に気づかないままであるため、この永続性は大幅にリスクを増加させます。
例えば、攻撃者は一見無害なウェブサイトをホストして、訪問者を分散型ボットネットに静かに登録することができます。その後、各感染ブラウザは、ユーザーの知識なしにコマンドを受け取ってタスクを実行できます。
- 分散型サービス拒否(DDoS)攻撃に数千の侵害されたブラウザを使用すること。
- 攻撃者の活動を匿名化するために、被害者のシステムを通じて悪意のあるトラフィックをプロキシすること。
- ユーザーを悪意のあるドメインまたはフィッシングページにリダイレクトすること。
- 限定的なブラウジング動作とネットワークアクティビティを監視すること。
セキュリティ専門家は、この欠陥を将来の脆弱性と組み合わせることで、より高度な悪用が可能になることが真の危険であると警告しています。
パッチを発行する前に悪用コードをリリースするGoogleの決定は批判を招きました。PoC公開は調整された脆弱性開示実践で一般的ですが、修正なしにコードをリリースすると、脅威アクターの障壁が低くなります。
Rebaneは、スケーリング攻撃には追加のインフラストラクチャが必要ですが、悪用は「非常に簡単」であると述べました。Chromiumの開発者は重大性を認めていますが、完全な修正は展開されていません。
パッチが利用可能になるまで、組織とユーザーは防御的な措置を採用すべきです:
- エンタープライズポリシーを通じてService Worker機能を制限またはオフにします。
- 可能な限りバックグラウンドフェッチ機能を無効にします。
- 異常がないかアウトバウンドブラウザトラフィックを監視します。
- エンタープライズ環境にブラウザ分離またはサンドボックス技術を展開します。
悪用コードの公開入手可能性とパッチの不在の組み合わせは、重大な露出ウィンドウを作成し、ブラウザベースのボットネットを活用した実世界の攻撃の可能性を増加させます。
翻訳元: https://gbhackers.com/googles-exploit-code-unfixed-chromium-security-bug/
