Vulnerabilità critica Brash nei browser Chromium: rischio di crash totale in pochi secondi

Vulnerabilità critica Brash nei browser Chromium: rischio di crash totale in pochi secondi

La recente scoperta della vulnerabilità Brash espone tutti i browser basati su Chromium — inclusi Chrome, Edge, Brave, Opera e altri — a rischi elevatissimi di crash totale e blocco del sistema in pochi secondi, semplicemente visitando uno specifico link. Il difetto, nel motore di rendering Blink, permette agli hacker di eseguire attacchi mirati che saturano le risorse del computer, mettendo a rischio l’attività di privati e aziende in ambiti critici come finanza e medicina. È fondamentale evitare di cliccare su link sospetti, mantenere aggiornato il browser e monitorare i sistemi per eventuali anomalie.

Cos’è la vulnerabilità Brash?

La vulnerabilità Brash è stata individuata da ricercatori di sicurezza e colpisce il motore di rendering Blink, utilizzato da oltre tre miliardi di utenti tramite browser basati su Chromium (Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, e altri). La falla riguarda l’assenza di un meccanismo di rate limiting sulle operazioni della funzione document.title, che gestisce il titolo della tab del browser.

Questa assenza permette agli attaccanti di inviare milioni di aggiornamenti del titolo ogni secondo, provocando un collasso del thread principale del browser e una completa saturazione delle risorse CPU del sistema. In pochi secondi, il browser smette di rispondere e può andare completamente in crash, costringendo l’utente a chiudere forzatamente l’applicazione.

Browser vulnerabili ed esclusi

  • Vulnerabili: Chrome, Edge, Brave, Opera, Vivaldi, Arc Browser, OpenAI ChatGPT Atlas, Perplexity Comet (tutti basati su Chromium).
  • Non vulnerabili: Mozilla Firefox, Safari, e tutti i browser su iOS (che utilizzano WebKit).

Come funziona l’attacco Brash

L’attacco segue una sequenza di tre fasi principali:

  1. Preparazione hash/seed: Vengono precaricate in memoria 100 stringhe esadecimali di 512 caratteri, utilizzate come titolo della tab per ridurre il carico computazionale durante l’attacco.

  2. Iniezione a raffiche: Vengono eseguiti, in rapida sequenza, burst da tre aggiornamenti consecutivi alla funzione document.title, iniettando fino a 24 milioni di aggiornamenti al secondo.

  3. Saturazione thread UI: Il thread principale del browser viene saturato, il browser si blocca e smette di rispondere. In pochi secondi (15-60, a seconda del browser e del sistema) l’interfaccia utente diventa completamente inaccessibile e compare la finestra “Pagina non risponde”.

Questa tecnica, sfruttabile tramite un singolo link o una pagina web malevola, può essere programmata per attivarsi a un orario preciso, permettendo attacchi mirati in momenti critici (ad esempio, in corrispondenza di eventi finanziari o sanitari importanti).

Impatti concreti

Le implicazioni sono particolarmente gravi per:

  • Sistemi medicali: Un browser bloccato può interrompere la visualizzazione di strumenti chirurgici digitali in momenti delicati.
  • Finanza: Le piattaforme di trading online possono essere messe fuori uso durante le aperture di mercato.
  • Automazione enterprise e IA: Sistemi di automazione basati su browser headless possono collassare, creando interruzioni su larga scala.

Anche semplici utenti possono essere coinvolti visitando inconsapevolmente link malevoli su social network, email o siti web non affidabili.

Simulazione e tempi di attacco

Secondo i test, il crash avviene:

  • Chrome: tra 15 e 30 secondi
  • Edge: tra 15 e 25 secondi
  • Opera: circa 60 secondi

Il tutto senza alcuna interazione aggiuntiva da parte dell’utente, solamente visitando una pagina progettata per sfruttare Brash.

La gravità della vulnerabilità

Brash non richiede privilegi particolari, né interazione avanzata: basta che l’utente visiti una pagina contentente il payload malevolo. L’attacco è di tipo Denial of Service (DoS), ma può essere orchestrato con precisione temporale, assumendo le caratteristiche di una vera “bomba logica”.

Stato dei fix e aggiornamenti

Ad oggi, le versioni di Chromium fino alla 143.0.7483.0 sono vulnerabili. I team di sviluppo sono al lavoro per introdurre un meccanismo di rate limiting sulle operazioni DOM, in particolare su document.title, per mitigare la falla. Non sono ancora disponibili workaround ufficiali o patch per tutti i browser interessati, sebbene alcuni produttori abbiano incorporato fix legati ad altre vulnerabilità recenti.

Consigli immediati e azioni basilari

Per proteggersi è essenziale:

  • Non cliccare su link sospetti, in particolare quelli promossi come leak, allarmi di sicurezza o informazioni urgenti.
  • Aggiornare costantemente il browser Chromium non appena vengono rese disponibili nuove versioni.
  • Monitorare i propri sistemi per rilevare rallentamenti, crash insoliti o comportamenti anomali.
  • Effettuare regolarmente backup dei sistemi critici.
  • Seguire i bollettini di sicurezza dei fornitori di software, per essere informati tempestivamente sulle patch disponibili.

Approfondimento tecnico

Analisi architetturale della vulnerabilità

Il cuore del problema è l’implementazione di Blink che non impone limiti sulle chiamate a document.title. In condizioni normali, questa funzione viene richiamata occasionalmente per aggiornare il titolo della finestra del browser, ad esempio al caricamento di una nuova pagina o come feedback per azioni dell’utente.

Brash sfrutta la possibilità di inviare milioni di chiamate al secondo, portando il browser al punto di saturazione totale. Il main thread, responsabile della gestione dell’interfaccia utente e delle risorse, diventa rapidamente incapace di processare altri eventi, il che si traduce in un blocco completo del browser. L’impatto sulla CPU e, di conseguenza, sul resto del sistema, è devastante: le prestazioni di tutte le applicazioni in esecuzione possono degradare rapidamente.

Modalità di diffusione dell’exploit

L’exploit Brash può essere inoculato in diversi modi:

  • Link in email di phishing o messaggi social: basta un click per attivare l’attacco.
  • Iniezione in siti web compromessi: soprattutto quelli con grande traffico o importanza strategica.
  • Componenti di terze parti, pubblicità o widget integrati in portali web che non controllano adeguatamente i contenuti dinamici.

Criticità per infrastrutture e big data

La possibilità di programmare l’attacco, facendo sì che si attivi solo in precise finestre temporali, espone a rischi infrastrutturali:

  • Ospedali e centri medici: i sistemi di navigazione chirurgica digitale o di refertazione basati su web possono essere bloccati durante interventi critici.
  • Banche e trading online: interruzioni durante le fasi di chiusura o apertura del mercato possono provocare danni economici ingenti.
  • Automazione e robotica: sistemi che affidano processi decisionali a browser headless rischiano interruzioni gravi e imprevedibili.

Possibili evoluzioni dell’attacco

Il carattere di precisione temporale di Brash apre la strada ad attacchi coordinati e simultanei su larga scala, rendendo difficile la difesa e la mitigazione tramite normali strumenti di controllo. La facilità con cui il payload può essere nascosto e attivato a distanza costituisce una delle principali preoccupazioni per le aziende.

Situazione delle patch e risposte dei vendor

Le principali aziende coinvolte (Google, Microsoft, Brave, Opera) non hanno ancora rilasciato fix ufficiali specifici per Brash, ma è probabile che nei prossimi giorni vengano adottati aggiornamenti con limitazioni sulle operazioni DOM. Diversi team di cybersecurity seguono da vicino l’evoluzione della situazione per individuare eventuali varianti dell’attacco o possibili bypass alle patch future.

Raccomandazioni approfondite

Per aziende e utenti avanzati:

  • Inserire whitelist rigorose sui domini consentiti nell’organizzazione per limitare la navigazione a siti riconosciuti e sicuri.
  • Implementare sistemi di sandboxing e segmentazione delle sessioni web più critiche, isolandole dal resto dell’attività.
  • Monitorare attivamente i log di comportamento delle reti e delle applicazioni, predisponendo alert su consumi anomali di CPU e memoria.
  • Formare il personale su riconoscimento di tentativi di phishing e sulla gestione appropriata di link potenzialmente malevoli.
  • Valutare la migrazione temporanea ad altri browser non affetti dalla vulnerabilità (Firefox, Safari) per ambienti con alta criticità.
  • Collaborare attivamente con i fornitori di software per sollecitare e testare la distribuzione tempestiva delle patch.

Aggiornare quanto prima i browser Chromium non appena saranno disponibili le patch dedicate è la misura più efficace per minimizzare l’esposizione a Brash.

Non sottovalutare la gravità di Brash: prestate la massima attenzione ai link ricevuti, aggiornate subito i browser e adottate policy di sicurezza multilivello per tutelare dati personali e sistemi aziendali.

Fonte: https://cybersecuritynews.com/chromium-blink-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto