Google vydala nové podrobnosti o čtyřech zero-day bezpečnostní chyby, které byly zneužity ve volné přírodě na začátku tohoto roku. Čtyři nulové dny byly objeveny skupinou pro analýzu hrozeb společnosti Google (TAG) a výzkumníky projektu Zero jako součást tří cílených malwarových kampaní, které využívaly dříve neznámé nedostatky v prohlížeči Google Chrome, Internet Explorer a WebKit, který používá Safari společnosti Apple.
výzkumníci společnosti Google také poznamenali, že rok 2021 byl obzvláště aktivním rokem pro útoky v přírodě. V letošním roce bylo dosud veřejně zveřejněno 33 exploitů používaných při útocích, což je o 11 více než celkový počet z roku 2020.
Google připisuje některé z uptick v nulových dnech většímu úsilí o detekci a zveřejnění, ale uvedl, že nárůst je také způsoben množením komerčních prodejců prodávajících přístup k zranitelnostem zero-day ve srovnání s počátkem 2010s.
„0denní schopnosti byly pouze nástroji vybraných národních států, které měly technické znalosti, aby našly 0denní zranitelnosti, vyvinuly je do exploitů a poté strategicky zefektivnily jejich použití,“ uvedl Google v blogu. „V polovině až do konce roku 2010 se na trh připojilo více soukromých společností, které prodávají tyto 0denní schopnosti. Skupiny již nemusí mít technické znalosti, nyní potřebují pouze zdroje. Tři ze čtyř 0 dnů, které TAG objevil v roce 2021, spadají do této kategorie: vyvinuto komerčními poskytovateli a prodáno a používáno vládou podporovanými aktéry.“
pokud jde o nulové dny objevené společností Google, exploity zahrnují CVE-2021-1879 v Safari, CVE-2021-21166 a CVE-2021-30551 v Chromu a CVE-2021-33742 v aplikaci Internet Explorer.
s kampaní Safari zero-day hackeři použili LinkedIn Messaging k cílení vládních úředníků ze západoevropských zemí a posílali škodlivé odkazy, které směřovaly cíle na domény ovládané útočníkem. Pokud cíl klikne na odkaz ze zařízení iOS, infikovaný web zahájí útok přes nulový den.
„toto zneužití by vypnulo ochranu zásad stejného původu, aby bylo možné shromažďovat autentizační soubory cookie z několika populárních webových stránek, včetně Google, Microsoft, LinkedIn, Facebook a Yahoo, a poslat je přes WebSocket na IP řízenou útočníkem,“ uvedli vědci značky Google. „Oběť by musela mít otevřenou relaci na těchto webových stránkách ze Safari, aby mohly být soubory cookie úspěšně exfiltrovány.“
výzkumníci společnosti Google uvedli, že útočníci byli pravděpodobně součástí ruského vládního aktéra zneužívajícího tento nulový den k cílení na zařízení iOS se staršími verzemi iOS (12.4 až 13.7). Bezpečnostní tým společnosti Google oznámil nulový den společnosti Apple, která vydala opravu 26. března prostřednictvím aktualizace iOS.
dvě chyby zabezpečení prohlížeče Chrome byly nulové dny vzdáleného spuštění kódu renderer a předpokládá se, že byly použity stejným aktérem. Oba nulové dny se zaměřovaly na nejnovější verze prohlížeče Chrome ve Windows a byly doručeny jako jednorázové odkazy zaslané e-mailem cílům. Když cíl klikl na odkaz, byli posláni do domén ovládaných útočníkem a jejich zařízení bylo otiskem prstu pro informace, které útočníci použili k určení, zda mají exploit doručit. Google uvedl, že všechny cíle byly v Arménii.
s zranitelností aplikace Internet Explorer společnost Google uvedla, že její vědci objevili kampaň zaměřenou na arménské uživatele se škodlivými dokumenty Office, které načítaly webový obsah v prohlížeči.
„na základě naší analýzy hodnotíme, že zde popsané exploity prohlížeče Chrome a Internet Explorer byly vyvinuty a prodány stejným dodavatelem, který poskytuje možnosti sledování zákazníkům po celém světě,“ uvedl Google.
Google také publikoval analýzu hlavních příčin pro všechny čtyři nulové dny:
- CVE-2021-1879: Use-After-Free V QuickTimePluginReplacement
- CVE-2021-21166: problém životního cyklu objektu Chrome ve zvuku
- CVE-2021-30551: zmatek typu Chrome v V8
- CVE-2021-33742: Internet Explorer mimo hranice psát v MSHTML