Falha grave no Chrome permite acesso ao computador

Atualize o Chrome imediatamente. Na nova versão do navegador, o Google consertou uma vulnerabilidade que já está sendo usada pelos chamados ataques WizardOpium.

Graças ao subsistema Kaspersky Exploit Prevention em nossos produtos, recentemente descobrimos um exploit – programa malicioso que permite a invasores ter acesso não-autorizado ao computador – por meio de uma vulnerabilidade no navegador Google Chrome. Se tratava de uma vulnerabilidade 0-day, até então desconhecida pelos desenvolvedores. Agora é chamada CVE-2019-13720.

Nós reportamos a vulnerabilidade para o Google, que a solucionou na última atualização do Chrome. A seguir, descrevemos como o ataque se aproveita dessa brecha.

WizardOpium: Más notícias em coreano

O ataque, que nós denominamos Operação WizardOpium, começa com um site de notícias coreano no qual os cibercriminosos injetaram um código malicioso. Ele carrega um script de outra página, que checa se o sistema é passível de ser infectado e qual navegador é utilizado pela vítima (cibercriminosos estão interessados no Chrome para Windows, versão 65 ou posterior).

Se o sistema operacional e o navegador cumprirem os requisitos, o script baixa o exploit por fragmentos, depois faz a montagem e a descriptografa.  A primeira coisa que o exploit faz é verificar a versão do Chrome. Nesse ponto, ele se torna mais seletivo e roda exclusivamente na 76 ou 77. Talvez o kit de ferramentas dos cibercriminosos incluam outras ameaças para as diferentes versões do navegador, mas não podemos afirmar.

Após encontrar o que busca, o exploit tenta aproveitar a vulnerabilidade CVE-2019-13720, do tipo use-after-free, que se baseia no uso indevido da memória do computador. Ao manipular a memória, o exploit obtém permissão para ler e escrever dados no dispositivo, e imediatamente faz o download, descriptografa e roda o malware. Este último pode variar segundo o usuário.

Os produtos da Kaspersky Lab detectam a ameaça com o diagnóstico Exploit.Win32.Generic. Mais detalhes técnicos estão disponíveis na postagem do Securelist.

Atualize o Chrome

Mesmo que você não leia sites de notícias coreanos, recomendamos que você atualize imediatamente o Chrome para a versão 78.0.3904.87. Já existe um exploit que usa essa vulnerabilidade, o que significa que outros podem surgir. É provável que isso aconteça tão logo os detalhes da brecha de segurança se espalhem.

O Google disponibilizou uma atualização do Chrome para Windows, macOS e Linux. Como o Chrome atualiza automaticamente, deve bastar a reinicialização de seu navegador.

Tenha certeza que a atualização foi instalada. Para fazer isso, clique nos 3 pontos verticais no canto superior direito do navegador (“Personalizar e Controlar o Google Chrome”), e selecione Ajuda  → Sobre o Google Chrome. Se o número que aparece é o 78.0.3904.87 ou mais recente, tudo está em ordem. Se não, então o Chrome vai buscar e instalar uma atualização disponível (você vai ver um círculo girando à esquerda), e depois de alguns segundos o número da versão mais recente vai aparecer na tela. Daí, clique em Reiniciar.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?