Google veröffentlicht Exploit-Code für unbehobenes Chromium-Fehler, der Millionen Nutzer gefährdet

Rebane entdeckte jedoch, dass dieser Mechanismus missbraucht werden kann, um persistente, nie endende Aufgaben zu erstellen, die eine kontinuierliche Kommunikation mit. Durch Ausnutzung dieses Verhaltens können Angreifer einen verdeckten Kommunikationskanal zwischen dem Browser des Opfers und einem Command-and-Control (C2)-Server herstellen.

Besonders bemerkenswert ist, dass in einigen Implementierungen, wie beispielsweise bei Microsoft Edge, die Verbindung auch nach dem Schließen des Browsers oder einem Neustart des Systems bestehen bleibt. Der Exploit verwandelt den Browser effektiv in einen „begrenzten Botnet-Knoten", ohne dass eine Benutzerinteraktion erforderlich ist.

Ausnutzung erfordert lediglich einen Website-Besuch Der Angriffsvektor ist aufgrund seiner Einfachheit besonders besorgniserregend. Jeder Nutzer, der eine bösartige oder kompromittierte Website besucht, kann stumm in dieses browserbasierte Botnet aufgenommen werden.

Laut der Offenlegung können Angreifer eine

Laut der Offenlegung können Angreifer eine bösartige Webseite bereitstellen, die einen Service Worker enthält, der einen Hintergrund-Abholvorgang (background fetch task) initiiert, der niemals beendet wird.

Dies ermöglicht die kontinuierliche Ausführung ät des Opfers. „Es ist realistisch, dass die Erstellung eines 'Botnetzes' Tausende, und die Nutzer werden nicht erkennen, dass JavaScript auf ihrem Gerät remote ausgeführt werden kann", so Rebane in dem ursprünglichen Bericht.

Obwohl der Exploit durch die Browser-Sandboxierung eingeschränkt ist, stellen seine Fähigkeiten bei großflächiger Ausnutzung ein erhebliches Risiko dar. Mögliche Missbrauchsszenarien umfassen: Distributed Denial-of-Service (DDoS): Kompromittierte Browser können koordiniert eingesetzt werden, um die Zielinfrastruktur mit Datenverkehr zu überfluten.

Moegliche Anwendungen

Proxy-Netzwerke: Angreifer können bösartigen oder anonymisierten Datenverkehr durch Opfer-Browser leiten. Umleitung des Datenverkehrs: Nutzer können stumm auf bösartige Ziele umgeleitet werden. Aktivitätsüberwachung: Begrenzte Überwachung des Surfverhaltens und der Netzwerkaktivitäten.

Der Forscher betonte, dass die aktuellen Fähigkeiten zwar auf Browser-Ebene beschränkt sind, das eigentliche Risiko jedoch in der Verkettung dieser Schwachstelle mit zukünftigen Exploits liegt.

Ein vorab festgelegtes Netzwerk kompromittierter Browser könnte als Startpunkt für fortschrittlichere Angriffe dienen, sobald weitere Schwachstellen identifiziert werden. Googles Entscheidung, Exploit-Code vor der Veröffentlichung eines Patches zu veröffentlichen, hat innerhalb der Sicherheitsgemeinschaft Bedenken ausgelöst.

Sicherheitslage und Risiko

Der Proof of Concept (PoC) senkt die Einstiegshürde für Angreifer und macht die Ausnutzung laut Rebane „ziemlich einfach", obwohl eine Skalierung der Operationen zusätzliche Infrastruktur erfordert. Im Chromium-Issue-Tracker haben mehrere Entwickler die Schwere des Fehlers anerkannt und ihn als „ernsthafte Schwachstelle" beschrieben.

Dennoch wurde bis zum Zeitpunkt dieser Veröffentlichung kein vollständiger Fix bereitgestellt. Betroffene Plattformen: Google Chrome, Microsoft Edge, Brave Browser, Opera sowie andere Chromium-basierte Browser.

Bis zur Veröffentlichung eines offiziellen Patches sollten Benutzer und Organisationen folgende Maßnahmen zur Minderung in Betracht ziehen: Die Nutzung einschränken, wo dies möglich ist, sowie Hintergrund-Abhol-Funktionen deaktivieren, sofern diese konfigurierbar sind.

Technischer Hintergrund

Verwenden Sie netzwerkweite Überwachung, um anomale ausgehende Browserverbindungen zu erkennen. Implementieren Sie Browser-Isolierungstechnologien in Unternehmensumgebungen.

Da Exploit-Code nun öffentlich verfügbar ist und kein Patch zur Verfügung steht, bietet die Schwachstelle eine einzigartige Gelegenheit für Angreifer, groß angelegte browserbasierte Botnetze zu kompromittieren.