Thông tin chi tiết về một lỗ hổng hiện đã được vá trong các trình duyệt dựa trên Google Chrome và Chromium, nếu được khai thác thành công, có thể khiến lộ các tệp chứa dữ liệu bí mật.
“Vấn đề nảy sinh từ cách trình duyệt tương tác với các liên kết cộng hưởng khi xử lý các tệp và thư mục”, nhà nghiên cứu Ron Masas của Imperva cho biết. “Cụ thể, trình duyệt đã không kiểm tra đúng cách xem liên kết tượng trưng có trỏ đến một vị trí nhằm mục đích truy cập hay không, cho phép đánh cắp các tệp nhạy cảm.”
Google đã mô tả sự cố có mức độ nghiêm trọng trung bình (CVE-2022-3656) là do không đủ dữ liệu xác thực trong Hệ thống tệp. Google đã phát hành các bản sửa lỗi cho sự cố này trong các phiên bản 107 và 108 phát hành vào tháng 10 và tháng 11 năm 2022.
Được gọi là SymStealer, lỗ hổng cốt lõi liên quan đến một loại điểm yếu được gọi là liên kết tượng trưng, xảy ra khi kẻ tấn công lạm dụng tính năng này để vượt qua các hạn chế hệ thống tệp của một chương trình để hoạt động trên các tệp trái phép.
Phân tích của Imperva về cơ chế xử lý tệp của Chrome (và theo phần mở rộng Chromium) cho thấy rằng khi người dùng trực tiếp kéo và thả một thư mục vào phần tử nhập tệp, trình duyệt đã giải quyết tất cả các liên kết tượng trưng đệ quy mà không đưa ra bất kỳ cảnh báo nào.
Trong một cuộc tấn công giả định, một tác nhân đe dọa có thể lừa nạn nhân truy cập một trang web không có thật và tải xuống tệp lưu trữ ZIP có chứa liên kết tượng trưng đến một tệp hoặc thư mục có giá trị trên máy tính, chẳng hạn như khóa ví và thông tin đăng nhập.
Khi cùng một tệp liên kết tượng trưng được tải trở lại trang web như một phần của chuỗi lây nhiễm – ví dụ: dịch vụ ví tiền điện tử nhắc người dùng tải lên khóa khôi phục của họ – lỗ hổng bảo mật có thể bị khai thác để truy cập tệp thực tế lưu trữ cụm từ khóa bằng cách đi qua liên kết tượng trưng.
Masas nói: “Tin tặc đang ngày càng nhắm mục tiêu vào các cá nhân và tổ chức nắm giữ tiền điện tử, vì những tài sản kỹ thuật số này có thể có giá trị cao. ” “Một chiến thuật phổ biến được tin tặc sử dụng là khai thác lỗ hổng trong phần mềmđể có quyền truy cập vào ví tiền điện tử và đánh cắp số tiền đó.”
