В среду Google опубликовала код эксплойта для уязвимости в своём браузерном движке Chromium, которая остаётся незакрытой и угрожает миллионам пользователей Chrome, Microsoft Edge и почти всех других браузеров на основе Chromium.

Как работает уязвимость

Поэксплуатировать уязвимость можно через интерфейс Browser Fetch — стандарт, позволяющий загружать в фоне длинные видео и другие объёмные файлы. Злоумышленник может использовать его, чтобы установить соединение, отслеживающее часть активности пользователя, а также использовать устройство как прокси для просмотра сайтов и организации атак типа «отказ в обслуживании» (DDoS).

В зависимости от браузера, такие соединения либо автоматически пересоздаются, либо продолжают работать даже после перезагрузки браузера или устройства.

Уязвимость не чинят уже 29 месяцев

Любой сайт, который посещает пользователь, может воспользоваться этой уязвимостью. Фактически, это создаёт ограниченный бэкдор, превращающий устройство в часть небольшой ботсети. Возможности ограничены тем, что может делать браузер: заходить на вредоносные сайты, предоставлять анонимный прокси-доступ, участвовать в DDoS-атаках и собирать данные о поведении пользователя.

Однако даже с такими ограничениями злоумышленник может объединить тысячи, а возможно, и миллионы устройств в сеть. А если позже найдёт ещё одну уязвимость, он сможет использовать её, чтобы полностью захватить все эти устройства.

«Опасность в том, что можно объединить множество браузеров в сеть и потом запустить на них что-то, что ты придумал», — сказала Лайра Ребейн (Lyra Rebane), независимый исследователь, обнаружившая уязвимость и сообщившая о ней Google в конце 2022 года.

По её словам, использование опубликованного Google кода эксплойта было бы «довольно простым», хотя масштабирование до управления большой сетью потребует дополнительных усилий. В переписке с Google два разработчика независимо назвали уязвимость «серьёзной». Ей присвоили уровень опасности S1 — вторую по значимости категорию.

Ошибка в координации

После сообщения Ребейн 29 месяцев назад уязвимость оставалась известной только разработчикам Chromium. Но в среду утром она вдруг появилась в открытом трекере ошибок проекта. Первоначально исследовательница подумала, что проблему, наконец, исправили. Вскоре выяснилось, что патч так и не вышел.

Google удалила публикацию, но информация уже попала в архивные копии, включая сам код эксплойта, который остаётся доступным.

Google on Wednesday published exploit code for an unfixed vulnerability in its Chromium browser codebase that threatens millions of people using Chrome, Microsoft Edge, and virtually all other Chromium-based browsers.

The proof-of-concept code exploits the Browser Fetch programming interface, a standard that allows long videos and other large files to be downloaded in the background. An attacker can use the exploit to create a connection for monitoring some aspects of a user’s browser usage and as a proxy for viewing sites and launching denial-of-service attacks. Depending on the browser, the connections either reopen or remain open even after it or the device running it has rebooted.

Unfixed for 29 months (and counting)

The unfixed vulnerability can be exploited by any website a user visits. In effect, a compromise amounts to a limited backdoor that makes a device part of a limited botnet. The capabilities are limited to the same things a browser can do, such as visit malicious sites, provide anonymous proxy browsing by others, enable proxied DDoS attacks, and monitor user activity. Nonetheless, the exploit could allow an attacker to wrangle thousands, possibly millions, of devices into a network. Once a separate vulnerability becomes available, the attacker could use it to then compromise all those devices.

“The dangerous part here is that you can just have a lot of different browsers together that you can in the future run something on that you figure out,” said Lyra Rebane, the independent researcher who discovered the vulnerability and privately reported it to Google in late 2022 in an interview. She said using the exploit code Google prematurely published would be “pretty easy,” although scaling it to wrangle large numbers of devices into a single network would require more work. In the thread of Rebane’s disclosure to Google, two developers said in separate responses that it was a “serious vulnerability.” Its severity was rated S1, the second-highest classification.

Since its reporting 29 months ago, the vulnerability remained unknown except to Chromium developers. Then on Wednesday morning, it was published to the Chromium bug tracker. Rebane initially assumed thevulnerability was finally fixed. Shortly thereafter, she learned that, in fact, it remained unpatched. While Google removed the post, it remains available on archival sites, along with the exploit code.