Google rilascia il codice exploit di Chromium che colpisce milioni di persone

Mercoledì

Google ha compiuto il passo controverso di pubblicare il codice exploit per una vulnerabilità critica e senza patch che risiede nel codice base del suo browser Chromium. Questa divulgazione pone significative minacce alla sicurezza per milioni di persone che si affidano a Chrome, Microsoft Edge e numerosi altri browser basati sulla piattaforma Chromium. La decisione di rilasciare un codice proof-of-concept per un difetto non risolto ha scatenato un notevole dibattito all'interno della comunità della sicurezza informatica riguardo alle pratiche di divulgazione responsabile e all'equilibrio tra trasparenza e sicurezza degli utenti.

La vulnerabilità prende di mira specificamente l'interfaccia di programmazione Browser Fetch, uno standard web fondamentale progettato per facilitare il download continuo di file di grandi dimensioni come video estesi e pacchetti di dati sostanziali in background senza interrompere l'esperienza dell'utente. Gli autori malintenzionati possono sfruttare questo exploit come arma per stabilire connessioni persistenti che consentano un monitoraggio approfondito dei modelli di navigazione e dei registri delle attività di un utente. Oltre alle capacità di sorveglianza, gli aggressori possono riutilizzare i browser compromessi come proxy per accedere a contenuti riservati, mascherando la loro vera posizione e identità e lanciando devastanti attacchi denial-of-service contro l'infrastruttura presa di mira.

La persistenza di queste connessioni dannose rappresenta un aspetto particolarmente allarmante di questa vulnerabilità. A seconda dell'implementazione specifica del browser, queste connessioni si ristabiliscono automaticamente o rimangono costantemente attive anche dopo la chiusura dell'applicazione browser o il riavvio completo del sistema del dispositivo sottostante. Ciò significa che una volta che un dispositivo viene compromesso, l'aggressore mantiene il proprio accesso illecito attraverso meccanismi di riconnessione automatica, creando una backdoor persistente che sopravvive alle procedure di arresto standard avviate dall'utente.

La vulnerabilità non risolta è rimasta irrisolta per ben 29 mesi e continua senza una patch permanente. Durante questa finestra di vulnerabilità estesa, qualsiasi sito web visitato da un utente ignaro potrebbe potenzialmente sfruttare questo difetto. La superficie di attacco è notevolmente ampia perché gli utenti non hanno un modo pratico per identificare quali siti Web ospitano codice dannoso che tenta di sfruttare questa vulnerabilità. Questa accessibilità universale significa che anche i siti web affidabili potrebbero essere compromessi attraverso vari vettori di attacco, fornendo inconsapevolmente codice dannoso ai propri visitatori.

Se sfruttata con successo, questa vulnerabilità trasforma essenzialmente un dispositivo infetto in un nodo botnet limitato, ovvero un computer compromesso che partecipa silenziosamente a una rete più ampia di dispositivi controllati all'insaputa del proprietario o senza il suo consenso. Tuttavia, le capacità di attacco sono limitate da ciò che un browser Web può legittimamente realizzare. Gli aggressori possono indirizzare il browser compromesso a visitare siti Web dannosi, raccogliere credenziali utente, abilitare la navigazione proxy anonima per altri autori di minacce che cercano di nascondere le proprie attività e orchestrare attacchi DDoS coordinati contro obiettivi specifici inondandoli di traffico proveniente da migliaia di partecipanti ignari.

Le implicazioni di uno sfruttamento diffuso sono davvero preoccupanti. Un determinato aggressore potrebbe potenzialmente reclutare migliaia, o addirittura milioni, di dispositivi nella propria infrastruttura botnet. Ogni browser compromesso diventa un soldato inconsapevole in una massiccia rete di attacco. Sebbene gli attacchi a livello di browser individuali abbiano una portata limitata, l’effetto aggregato di milioni di dispositivi coordinati potrebbe facilitare attacchi devastanti contro infrastrutture critiche, sistemi finanziari e servizi essenziali. L'aggressore ottiene essenzialmente un esercito economico e scalabile di risorse compromesse.

Forse la cosa più preoccupante è il percorso riconosciuto per l'escalation. I ricercatori di sicurezza hanno teorizzato che una volta che un utente malintenzionato riesce a stabilire questa backdoor basata su browser su un gran numero di dispositivi, potrebbe sfruttare come arma una vulnerabilità completamente separata e non correlata per uscire dalla sandbox del browser e ottenere l'accesso completo a livello di sistema. Questo approccio di attacco in due fasi consentirebbe agli aggressori di convertire la compromissione limitata a livello di browser in un controllo completo del dispositivo. La finestra di opportunità per un simile attacco escalation esiste fintanto che la vulnerabilità principale rimane senza patch e finché esistono altre vulnerabilità sfruttabili nel sistema più ampio.

L'ubiquità della piattaforma Chromium nel moderno ecosistema dei browser ne amplifica il potenziale impatto in modo esponenziale. Oltre al browser Chrome di Google, numerosi altri browser tra cui Microsoft Edge, Opera, Brave e numerosi browser aziendali si affidano tutti alla base di codice Chromium. Ciò significa che una singola vulnerabilità nella codebase principale colpisce potenzialmente gli utenti di tutte queste diverse implementazioni del browser. La base di codice condivisa crea un punto di errore unificato che colpisce un'enorme popolazione di utenti globale.

La decisione di Google di pubblicare il codice exploit per una vulnerabilità senza patch ha creato notevoli tensioni all'interno della comunità della sicurezza. Alcuni sostengono che la divulgazione pubblica costringa produttori e manutentori a dare priorità alle correzioni e ad accelerare il processo di applicazione delle patch di sicurezza. Altri sostengono che il rilascio di codice di exploit funzionante prima che gli utenti abbiano a disposizione le patch protettive aumenta notevolmente la probabilità di abusi diffusi. La logica addotta dall'azienda per questo approccio divulgativo e la tempistica per lo sviluppo e l'implementazione di misure di protezione su tutte le piattaforme interessate rimangono oggetto di intenso esame e discussione tra i professionisti della sicurezza.

Gli utenti attualmente rimangono vulnerabili a meno che il loro browser e la loro versione specifici non siano stati aggiornati con una patch protettiva. Tuttavia, la natura distribuita degli aggiornamenti del browser su diverse piattaforme, produttori e popolazioni di utenti significa che la protezione completa richiederà probabilmente una tempistica estesa. Alcuni utenti con dispositivi meno recenti, sistemi non aggiornati o dispositivi gestiti dall'azienda potrebbero rimanere vulnerabili per un periodo notevolmente più lungo. Ciò crea una finestra di esposizione persistente durante la quale gli aggressori opportunisti potrebbero sfruttare attivamente questa vulnerabilità per compromettere i dispositivi e reclutarli nelle reti botnet.