记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【天问】Chrome 0Day漏洞软件供应链影响分析

2021-04-15 00:31
2021年4月13日,安全研究人员Rajvardhan Agarwal在推特上公布了一个可远程代码执行(RCE)的0Day漏洞,奇安信技术研究院星图实验室利用“天问”软件供应链安全分析系统,对该漏洞的影响范围进行了评估。

01 漏洞背景

    2021年4月13日,安全研究人员Rajvardhan Agarwal在推特上公布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器上成功触发。Agarwal公布的漏洞,是基于Chromium内核的浏览器中V8 JavaScript引擎的远程代码执行漏洞,同时还发布了该漏洞的PoC。

    好消息是,Chrome浏览器沙盒可以拦截该漏洞。但如果该漏洞与另一个漏洞进行组合,就有可能绕过Chrome沙盒。

02 漏洞影响评估

    由于Chrome和市面上很多浏览器都是基于Chromium内核开发的,依据天问以往的分析经验,也会有大量的软件直接或间接的集成、依赖Chromium内核,这些软件很可能也受到该漏洞的影响!

    目前,该漏洞的原因、利用相关的分析已经较为全面。但是,我们怎么知道有多少浏览器存在漏洞,又有哪些软件会受到该漏洞的影响?我们在用的哪些软件需要升级?奇安信技术研究院星图实验室使用自研天问系统——专门面向软件供应链安全领域的分析平台,对比进行了深入分析。


2.1  漏洞直接影响范围分析


    首先,在天问系统中,我们可以根据CVE、文件名、MD5等信息进行搜索,由于该漏洞很新,CVE信息还不够完善,我们无法直接通过CVE获取影响软件列表。但是由于该漏洞说明中提到,漏洞是出现在Chromium中的V8引擎中,因此我们可以利用相关的文件进行搜索,如chrome.dll、chrome_elf.dll等。

    以chrome.dll为例,我们可以通过天问数据库检索查看软件空间中包含chrome.dll文件的元素:

    我们选取一个点进去,如e52cd11dadd111c0ff912d2f0d1555fc,就可以得到这个dll文件的依赖关系以及影响的软件列表等信息,也可以点击查看详细影响关系:

    如上图所示,该案例是某款浏览器的不同版本,他们都使用了Chromium内核,我们可以通过天问看到每个终端软件到目标软件的影响关系和潜在漏洞触发路径,如先解压,后加载等。

    部分chrome.dll实例的影响面非常广,因此我们可以点击“查看详细影响关系”来查看详细的软件空间测绘图,如下图所示,用户可以看到详细的软件名称、组件、IP、域名、CVE等不同元素的依赖关系,可以直观地看到一个漏洞组件的影响面。


2.2  使用Chrome内核的其他浏览器


    我们利用天问,通过Chrome自带的一些特征明显的组件,如chrome.exe、chrome.dll、chrome_child.dll等模块元素来关联其他软件,共关联出348个受影响的组件,其中177款为用户在互联网上可以直接下载到的软件。

    在这177款软件中,大部分都为浏览器软件,以及使用了包含Chrome内核的双核浏览器。全量浏览器列表欢迎联系我们获取。

    同时,由于软件空间生态的更新时延问题,大部分浏览器无法在第一时间打上漏洞补丁,甚至有一些常见浏览器的内核还停留在几年前的状态,哪怕是Chrome官方第一时间提供了更新补丁以及解决方案,攻击者仍然可以通过供应链式的攻击对其他使用了Chrome内核的终端软件或浏览器进行攻击。利用天问的分析结果,我们也在第一时间对多款浏览器进行了漏洞验证,并成功复现。


2.3  使用Chrome内核的终端软件


    由于该0Day漏洞影响力较大,很多用户收到了相关的告警,在使用这些浏览器的时候也会更加谨慎,并且可以及时将Chrome、EDGE等浏览器更新至最新版。然而这样就真的解决问题了吗?

    天问通过对软件空间测绘数据的关联分析,发现Chrome内核的JS引擎不光会影响到很多第三方浏览器,同时也会影响到众多其他类型的终端软件,如xxx网盘、xxx大师等大量软件。这些软件虽然不是直接基于Chromium内核开发,但是集成了对应的浏览器,导致攻击者依然可以通过间接的方式攻击用户。因此,这些终端软件同样有可能被攻击者利用,导致用户电脑被攻击。

    详细的受影响软件列表同样可以联系我们获取。

03 应对方案

    虽然每个软件的漏洞利用条件和难度各有不同,不是所有的受影响软件都可以被成功攻击,但是,利用天问系统,我们可以发现所有具有潜在安全风险的软件,以便软件厂商、终端用户、监管机构明确安全风险的影响范围,及时采取更新、防范措施。

    目前,Chrome官方已经发布漏洞修复更新版本,使用Chrome的用户可以及时更新,使用其他Chrome内核浏览器的用户则需要提高安全意识,防范攻击。使用受影响的终端软件的用户也要依据软件功能进行对应的防范,如网盘工具不要打开未知的文件分享链接等。

参考链接

[1]https://github.com/r4j0x00/exploits/tree/master/chrome-0day

[2]https://chromium-review.googlesource.com/c/v8/v8/+/2820971




知识来源: https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247495319&idx=1&sn=1eca6d3aadd41df07d32bc62b73ca894

阅读:157470 | 评论:0 | 标签:0day 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“【天问】Chrome 0Day漏洞软件供应链影响分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁