Google опубликовал код эксплойта Chromium, затронувший миллионы людей

Google предприняла спорный шаг, опубликовав в среду код эксплойта для критической, неисправленной уязвимости, находящейся в кодовой базе браузера Chromium. Это раскрытие представляет собой серьезную угрозу безопасности для миллионов людей, использующих Chrome, Microsoft Edge и множество других браузеров, созданных на платформе Chromium. Решение опубликовать тестовый код для устранения неисправленной уязвимости вызвало серьезные дебаты в сообществе кибербезопасности относительно практики ответственного раскрытия информации и баланса между прозрачностью и безопасностью пользователей.

Уязвимость конкретно нацелена на программный интерфейс Browser Fetch, фундаментальный веб-стандарт, предназначенный для облегчения беспрепятственной загрузки больших файлов, таких как расширенные видеоролики и важные пакеты данных, в фоновом режиме, не нарушая работу пользователя. Злоумышленники могут использовать этот эксплойт для установления постоянных соединений, которые позволяют осуществлять тщательный мониторинг шаблонов просмотра и журналов активности пользователя. Помимо возможностей наблюдения, злоумышленники могут использовать взломанные браузеры в качестве прокси для доступа к ограниченному контенту, маскируя свое истинное местоположение и личность и одновременно запуская разрушительные атаки типа «отказ в обслуживании» на целевую инфраструктуру.

Постоянство этих вредоносных подключений представляет собой особенно тревожный аспект этой уязвимости. В зависимости от конкретной реализации браузера эти соединения либо автоматически восстанавливаются, либо остаются постоянно активными даже после закрытия приложения браузера или полной перезагрузки основного устройства. Это означает, что после взлома устройства злоумышленник сохраняет незаконный доступ с помощью механизмов автоматического повторного подключения, создавая постоянный бэкдор, который выдерживает стандартные процедуры отключения, инициированные пользователем.

Неустраненная уязвимость остается нерешенной в течение ошеломляющих 29 месяцев и сохраняется без постоянного исправления. Во время этого расширенного окна уязвимости любой веб-сайт, который посещает ничего не подозревающий пользователь, потенциально может воспользоваться этой уязвимостью. Поверхность атаки чрезвычайно широка, поскольку у пользователей нет практического способа определить, какие веб-сайты содержат вредоносный код, пытающийся использовать эту уязвимость. Такая универсальная доступность означает, что даже авторитетные веб-сайты могут быть взломаны с помощью различных векторов атак, неосознанно предоставляя своим посетителям вредоносный код.

При успешной эксплуатации эта уязвимость по существу превращает зараженное устройство в ограниченный узел бот-сети — взломанный компьютер, который незаметно участвует в более крупной сети контролируемых устройств без ведома или согласия владельца. Однако возможности атаки ограничены тем, что веб-браузер может законно выполнить. Злоумышленники могут направить скомпрометированный браузер на посещение вредоносных веб-сайтов, получить учетные данные пользователя, включить анонимный просмотр прокси для других злоумышленников, стремящихся скрыть свою деятельность, а также организовать скоординированные DDoS-атаки на определенные цели, переполняя их трафиком от тысяч ничего не подозревающих участников.

Последствия широкомасштабной эксплуатации действительно вызывают беспокойство. Решительный злоумышленник потенциально может привлечь тысячи или даже миллионы устройств в свою инфраструктуру ботнетов. Каждый взломанный браузер становится невольным пехотинцем в огромной сети атак. Хотя масштабы отдельных атак на уровне браузера ограничены, совокупный эффект миллионов скоординированных устройств может способствовать разрушительным атакам на критическую инфраструктуру, финансовые системы и основные службы. По сути, злоумышленник получает дешевую и масштабируемую армию скомпрометированных ресурсов.

Возможно, наибольшее беспокойство вызывает общепризнанный путь эскалации конфликта. Исследователи безопасности предположили, что как только злоумышленник успешно установит этот бэкдор на основе браузера на большом количестве устройств, он сможет использовать в качестве оружия совершенно отдельную, несвязанную уязвимость, чтобы вырваться из изолированной программной среды браузера и получить полный доступ на уровне системы. Этот двухэтапный подход к атаке позволит злоумышленникам превратить ограниченный взлом на уровне браузера в полный захват устройства. Окно возможностей для такой эскалационной атаки существует до тех пор, пока основная уязвимость остается не исправленной и пока в более широкой системе существуют другие уязвимости, которые можно использовать.

Повсеместное распространение платформы Chromium в современной экосистеме браузеров увеличивает потенциальное влияние в геометрической прогрессии. Помимо браузера Chrome от Google, многие другие браузеры, включая Microsoft Edge, Opera, Brave и многочисленные браузеры, ориентированные на предприятия, используют кодовую базу Chromium. Это означает, что одна-единственная уязвимость в базовой кодовой базе потенциально затрагивает пользователей всех этих различных реализаций браузера. Общая база кода создает единую точку отказа, затрагивающую огромное количество пользователей по всему миру.

Решение Google опубликовать код эксплойта для неисправленной уязвимости создало значительную напряженность в сообществе безопасности. Некоторые утверждают, что публичное раскрытие информации заставляет производителей и специалистов по обслуживанию определять приоритетность исправлений и ускоряет процесс исправлений безопасности. Другие утверждают, что выпуск рабочего кода эксплойта до того, как пользователи получат защитные патчи, резко увеличивает вероятность широкомасштабного злоупотребления. Обоснование компанией такого подхода к раскрытию информации, а также сроки разработки и внедрения защитных мер на всех затронутых платформах остаются предметом пристального изучения и обсуждения среди специалистов по безопасности.

В настоящее время пользователи остаются уязвимыми, если их конкретный браузер и версия не обновлены защитным патчем. Однако распределенный характер обновлений браузеров по разным платформам, производителям и группам пользователей означает, что полная защита, вероятно, потребует расширенного периода времени. Некоторые пользователи со старыми устройствами, необновленными системами или устройствами, управляемыми предприятием, могут оставаться уязвимыми значительно дольше. Это создает постоянное окно уязвимости, в течение которого злоумышленники-оппортунисты могут активно использовать эту уязвимость для компрометации устройств и вербовки их в сети ботнетов.