Google har udgivet nye detaljer om fire nul-dages sikkerhedssårbarheder, der blev udnyttet i naturen tidligere på året. Opdaget af Googles Threat Analysis Group (TAG) og Project nul forskere, blev de fire nul-dage brugt som en del af tre målrettede ondsindede kampagner, der udnyttede tidligere ukendte fejl i Google Chrome.
Googles forskere bemærkede også, at 2021 har været et særligt aktivt år for nul-dages angreb i naturen. Indtil videre i år er 33 nul-dages udnyttelser brugt i angreb blevet offentliggjort — 11 mere end det samlede antal fra 2020.
Google tilskriver nogle af uptick på nul-dage til større detektions-og afsløringsindsats, men sagde, at stigningen også skyldes spredning af kommercielle leverandører, der sælger adgang til nul-dages sårbarheder sammenlignet med begyndelsen af 2010 ‘ erne.
“0-dages kapaciteter plejede kun at være værktøjerne i udvalgte nationalstater, der havde den tekniske ekspertise til at finde 0-dages sårbarheder, udvikle dem til udnyttelser og derefter strategisk operationalisere deres brug,” sagde Google i et blogindlæg. “I midten til slutningen af 2010′ erne har flere private virksomheder tilsluttet sig markedet, der sælger disse 0-dages kapaciteter. Ikke længere behøver grupper at have den tekniske ekspertise, nu har de bare brug for ressourcer. Tre af de fire 0-dage, som TAG har opdaget i 2021, falder ind under denne kategori: udviklet af kommercielle udbydere og solgt til og brugt af regeringsstøttede aktører.”
hvad angår nul-dage opdaget af Google, omfatter udnyttelserne CVE-2021-1879 i Safari, CVE-2021-21166 og CVE-2021-30551 i Chrome og CVE-2021-33742 i Internetudforsker.
med Safari-nuldagskampagnen brugte hackere LinkedIn-beskeder til at målrette regeringsembedsmænd fra vesteuropæiske lande og sendte ondsindede links, der dirigerede mål til angriberstyrede domæner. Hvis målet klikkede på linket fra en iOS-enhed, den inficerede hjemmeside ville indlede angrebet via nul-dag.
“denne udnyttelse ville slukke for samme Oprindelsespolitiske beskyttelse for at indsamle godkendelsescookies fra flere populære hjemmesider, herunder Google, Microsoft, LinkedIn, Facebook og Yahoo og sende dem via en hacker-kontrolleret IP,” sagde Google TAG-forskere. “Offeret skal have en session åben på disse hjemmesider fra Safari for at cookies kan blive eksfiltreret.”
Google-forskere sagde, at angriberne sandsynligvis var en del af en russisk regeringsstøttet skuespiller, der misbruger denne nul-dag til at målrette mod iOS-enheder, der kører ældre versioner af iOS (12.4 til 13.7). Googles sikkerhedsteam rapporterede nul-dagen til Apple, der udstedte en patch den 26.marts gennem en iOS-opdatering.
de to Chrome-sårbarheder var renderer remote code-udførelse nul-dage og menes at have været brugt af den samme skuespiller. Begge nul-dage var rettet mod de nyeste versioner af Chrome På Vinduer og blev leveret som engangslinks sendt via e-mail til målene. Da et mål klikkede på linket, blev de sendt til angriberstyrede domæner, og deres enhed blev fingeraftrykket for information, som angriberne brugte til at afgøre, om de skulle levere udnyttelsen eller ej. Google sagde, at alle mål var i Armenien.
med internetforskerens sårbarhed, Google sagde, at dets forskere opdagede en kampagne rettet mod armenske brugere med ondsindede kontordokumenter, der indlæste internetindhold i Bro.sereren.
“baseret på vores Analyse vurderer vi, at de Chrome-og Internetudforskningsudnyttelser, der er beskrevet her, blev udviklet og solgt af den samme leverandør, der leverer overvågningsfunktioner til kunder over hele verden,” sagde Google.
Google offentliggjorde også rodårsagsanalyse for alle fire nul-dage:
- CVE-2021-1879: brug-efter-Fri i hurtig Timepluginreplacement
- CVE-2021-21166: Chrome objekt livscyklus problem i lyd
- CVE-2021-30551: Chrome Type forvirring i V8
- CVE-2021-33742: Internet opdagelsesrejsende out-of-bounds skriv i mshtml