Ученые безопасности из компании Microsoft раскрыли детали о критической уязвимости в браузере Google Chrome, позволяющей злоумышленнику удаленно выполнить код. Они использовали ExprGen, внутренний fuzzer javascript, написанный командой Chakra — собственный JS-движок компании.

Более четырёх лет назад внутренняя база Microsoft с информацией по отслеживанию различных багов подверглась взлому хакеров. Компания узнала об утечке в 2013 году, однако публично о ней никогда не заявляла. Теперь пять бывших сотрудников рассказали о взломе новостному агентству Reuters.

Уязвимость дает возможность выполнить различный код во время процесса рендеринга в Chrome. Специалисты выявили уязвимость, которая приводит к утечке информации и позволяет выполнять различный код в процессе рендеринга в Chrome.

Профессионалы Microsoft хотели выяснить, что они смогут сделать, не применяя вторую уязвимость. Удаленные выполнения кода эксплойтов могут посодействовать злоумышленникам украсть пароли, ввести различный javascript на любую страничку и перейти на любой веб-сайт в фоновом режиме.

Как утверждают ученые, невзирая на то, что использование двухфакторной аутентификации понижает вероятность кражи паролей, возможность тайного посещения интернет-ресурсов от имени пользователя может нести угрозу, так как хакер может подменить личность пользователя, прошедшего авторизацию. Специалисты Microsoft также сообщили, что система обновлений Chrome далека от идеала: найденная уязвимость была исправлена патчем CVE-2017-5121, размещённым в репозитории на GitHub, но она всё еще не закрыта в Chrome. В рамках поощрительной программы Google выплатила конкуренту $7500, а общая сумма вознаграждения Microsoft за эту и остальные найденные ошибки составила $15 837.

Microsoft также указала на недочеты модели выпуска патчей для Chrome, основанного на открытом проекте Chromium. Так злоумышленники получают возможность проэксплуатировать еще не исправленную уязвимость.

Вся серьёзность ситуации заключается в том, что именно было взломано. Внутренняя база данных Microsoft содержит информацию о требующих исправления уязвимостях в широко используемом программном обеспечении компании. С этой информацией хакеры и правительственные организации могли бы получить подробные инструкции о том, как можно атаковать те или иные системы редмондского гиганта.

За несколько месяцев Microsoft удалось исправить уязвимости, информация о которых была похищена. Компания также проверила, не были ли тогда утёкшие данные использованы в других взломах. В итоге ей не удалось связать внутренний взлом с какой-либо внешней атакой.

По словам бывших сотрудников, с тех пор Microsoft уделяет безопасности внутренних систем гораздо больше внимания. Тем не менее, тот факт, что корпорация решила держать утечку в тайне, не показывает её с лучшей стороны. Такое решение можно объяснить — злоумышленники могли попытаться как можно быстрее использовать уязвимости, поскольку знали бы, что довольно скоро «дыры» будут залатаны. Но факт остаётся фактом: на протяжении нескольких месяцев системы по всему миру были гораздо более уязвимы к атакам, чем обычно. Если бы Microsoft публично заявила о взломе, то организации могли бы принять необходимые меры по обеспечению должного уровня безопасности.

На прошлой неделе специалисты Google Project Zero пошли еще дальше и выступили открытой с критикой в адрес Microsoft. На этот раз эксперты выразили недовольство тем, как организована система обновлений продукции компании. Тогда как Windows 10 получает исправления регулярно, разработчики пренебрегают безопасностью пользователей других версий, так как патчи для  Windows 8 и Windows 7 выходят значительно позже (если выходят вообще).

Ответом на это стало новое сообщение в блоге Microsoft, в котором представители Offensive Security Research рассказали, что тоже обнаруживают проблемы в продуктах Google и в качестве примера привели RCE-уязвимость, недавно найденную в браузере Chrome.

Специалисты Microsoft пишут, что в сентябре 2017 года им удалось обнаружить баг CVE-2017-5121 в Chrome, допускающий out-of-bounds утечку данных, а после этого даже исполнение произвольного кода. Стоит отметить, что большинство проблем, обнаруженных специалистами Google Project Zero, были найдены с помощью фаззинга, и исследователи Offensive Security Research последовали их примеру. Уязвимость в Chrome нашли при помощи инструмента ExprGen, который создавался для работы с движком Edge Chakra JavaScript, но на этот раз был применен к V8.

При этом эксперты Microsoft выступили с ответной критикой в адрес Google, заявив, что система выпуска патчей для Chrome тоже далеко от идеала. Дело в том, что исправление для CVE-2017-5121 было размещено в репозитории V8 на GitHub, когда исправлений для Chromium  и Chrome еще не было. В Microsoft считают, что тем самым разработчики Google дают «подсказки» плохим парням, будто побуждая их отреверсить патч и обнаружить саму уязвимость до выхода обновлений.