A Kaspersky encontrou uma vulnerabilidade desconhecida, nomeada por CVE-2019-13720, no navegador Google Chrome. A companhia reportou-a ao Google, que já disponibilizou a correção. Após a análise de prova de conceito (PoC) enviada, o Google confirmou que esta é uma vulnerabilidade de dia zero (zero-day).
Esse novo exploit foi usado em ataques injeção de código malicioso e estava hospedado em um portal de notícias em coreano. O Javascript infectado era injetado na página principal, que por sua vez carregava um script de identificação para um servidor remoto, para verificar se o sistema da vítima poderia ser infectado, examinando as versões do navegador utilizado.
O ataque então tentava explorar a vulnerabilidade no navegador Google Chrome e o script checava se a versão 65 ou anterior era usada. Esse exploit dava ao criminoso uma condição de Use-After-Free (UaF), que permite cenários onde a execução de códigos maliciosos são permitidos.
A vulnerabilidade detectada foi usada no que os especialistas da Kaspersky chamam de "Operação WizardOpium". Certas semelhanças no código apontam para um possível vínculo entre esta campanha e os ataques realizados pelo grupo cibercriminoso Lazarus.
A vulnerabilidade foi detectada pela tecnologia Exploit Prevention da Kaspersky, incorporada na maioria dos produtos da empresa. A companhia recomenda que as empresas instalem a correção do Google o mais rápido possível e atualizem os softwares utilizados.
