Đầu tuần nay, các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một lỗ hổngzero-day xuất hiện trong trình duyệt web dựa trên Chromium dành cho Windows, Mac và Android. Lỗ hổng này có thể cho phép kẻ tấn công qua mắt hoàn toàn các quy tắc của Chính sách bảo mật nội dung (CSP) kể từ phiên bản Chrome 73.
Được theo dõi với số hiệu CVE-2020-6519 và bị chấm điểm 6,5 trên hệ thống đánh giá lỗ hổng CVSS, lỗi bảo mật này bắt nguồn từ một kỹ thuật giúp vượt qua CSP, dẫn đến việc thực thi mã tùy ý trên các trang web mục tiêu.
Theo PerimeterX, kể cả những trang web phổ biến nhất như Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger và Quora, đều có nguy cơ bị ảnh hưởng bởi kỹ thuật vượt qua CSP này.
Điều thú vị là, có vẻ như một lỗ hổng tương tự cũng được tìm thấy bởi Tencent Security Xuanwu Lab hơn một năm trước, chỉ một tháng sau khi phiên bản Chrome 73 được phát hành vào tháng 3 năm 2019. Tuy nhiên, nó chưa bao giờ được khắc phục mãi cho đến khi PerimeterX báo cáo lỗi bảo mật này vào đầu tháng 3 năm nay.
Sau khi lỗ hổng được tiết lộ cho Google, team kỹ thuật của Chrome đã nhanh chóng phát hành bản vá cho lỗi bảo mật trong bản cập nhật Chrome 84 (version 84.0.4147.89). Phiên bản này đã được tung ra vào ngày 14 tháng 7 vừa qua.
CSP là một lớp bảo mật bổ sung giúp phát hiện và giảm thiểu một số hình thức tấn công nhất định, bao gồm các cuộc tấn công Cross-Site Scripting (XSS) và tấn công chèn dữ liệu. Theo quy tắc của CSP, một trang web có thể chỉ định trình duyệt của nạn nhân thực hiện một số kiểm tra nhất định ở phía máy khách để ngăn chặn các tập lệnh (scripts) được thiết kế riêng nhằm khai thác sự tín nhiệm của trình duyệt đối với các nội dung nhận được từ máy chủ.
Do CSP là phương pháp chủ yếu được các chủ sở hữu trang web sử dụng để thực thi các chính sách bảo mật dữ liệu và ngăn chặn việc thực thi các tập lệnh độc hại, nên nếu nó bị vượt qua thì hoàn toàn có thể khiến dữ liệu của người dùng gặp rủi ro lớn.
Kỹ thuật tấn công này có thể đạt được bằng cách định rõ các tên miền mà trình duyệt coi là đến từ các nguồn hợp lệ của các tập lệnh thực thi (executable scripts). Điều này sẽ khiến một trình duyệt tương thích với CSP chỉ thực thi các scripts được tải trong các file nguồn nhận được từ các tên miền chỉ định trên và bỏ qua tất cả các tên miền khác.
Được biết lỗ hổng mà Tencent và PerimeterX phát hiện đã vượt qua CSP được định cấu hình cho một trang web, đơn giản bằng cách chuyển một mã JavaScript độc hại trong thuộc tính “src” của một phần tử iframe HTML.
Đáng lưu ý là các trang web như Twitter, Github, LinkedIn, Google Play Store, hay trang đăng nhập của Yahoo, PayPal và Yandex đều không bị phát hiện có chứa lỗ hổng trên. Đó là bởi vì các chính sách bảo mật CSP của các trang web này được triển khai bằng cách sử dụng một nonce hoặc hash để cho phép thực thi các tập lệnh nội tuyến (inline scripts).
“Xuất hiện lỗ hổng trong cơ chế thực thi CSP của Chrome không đồng nghĩa với việc các trang web ngay lập tức bị xâm phạm, bởi lẽ kẻ tấn công còn phải tìm cách để các script độc hại được gọi từ trang web (đó cũng là lý do khiến lỗ hổng này chỉ bị đánh giá ở mức độ nghiêm trọng trung bình),” Gal Weizman, chuyên gia bảo mật của PerimeterX cho biết.
Mặc dù cho đến hiện tại, chúng ta vẫn chưa biết rõ những ảnh hưởng cụ thể của lỗ hổng bảo mật này. Tuy nhiên tất cả người dùng đều được khuyến cáo nên cập nhật trình duyệt lên phiên bản mới nhất để có thể tự bảo vệ trước các cuộc tấn công thực thi mã tương tự. Còn đối với những chủ sở hữu trang web thì nên sử dụng các tính năng nonce và hash của CSP để giúp tăng cường bảo mật.
Bên cạnh đó, bản cập nhật Chrome mới nhất 84.0.4147.125 dành cho các hệ thống Windows, Mac và Linux cũng đã tung ra bản vá cho 15 lỗ hổng bảo mật khác, 12 lỗ hổng trong số đó được đánh giá là đặc biệt nghiêm trọng, còn 2 lỗ hổng thì có mức độ nghiêm trọng được đánh giá ở mức thấp.
