Google hat neue Details über vier Zero-Day-Sicherheitslücken veröffentlicht, die in der Wildnis zu Beginn dieses Jahres ausgenutzt wurden. Entdeckt von Googles Threat Analysis Group (TAG) und Project Zero Forscher, die vier Null-Tage wurden als Teil von drei gezielten Malware-Kampagnen verwendet, die bisher unbekannte Fehler in Google Chrome ausgenutzt, Internet Explorer, und WebKit, die Browser-Engine von Apples Safari verwendet.
Die Forscher von Google stellten außerdem fest, dass 2021 ein besonders aktives Jahr für Zero-Day-Angriffe in freier Wildbahn war. Bisher wurden in diesem Jahr 33 Zero-Day-Exploits für Angriffe veröffentlicht – 11 mehr als die Gesamtzahl von 2020.
Google führt einen Teil des Aufwärtstrends in Zero-Days auf größere Erkennungs- und Offenlegungsbemühungen zurück, sagte jedoch, dass der Anstieg auch auf die Verbreitung kommerzieller Anbieter zurückzuführen ist, die im Vergleich zu den frühen 2010er Jahren Zugang zu Zero-Day-Schwachstellen verkaufen.
„0-Day-Fähigkeiten waren früher nur die Werkzeuge ausgewählter Nationalstaaten, die über das technische Know-how verfügten, um 0-Day-Schwachstellen zu finden, sie zu Exploits zu entwickeln und ihre Verwendung dann strategisch zu operationalisieren“, sagte Google in einem Blogbeitrag. „Mitte bis Ende der 2010er Jahre haben sich mehr private Unternehmen dem Markt angeschlossen, die diese 0-Tage-Funktionen verkaufen. Gruppen brauchen nicht mehr das technische Know-how, sondern nur noch Ressourcen. Drei der vier 0-Tage, die TAG im Jahr 2021 entdeckt hat, fallen in diese Kategorie: entwickelt von kommerziellen Anbietern und verkauft und verwendet von staatlich unterstützten Akteuren.“
Zu den von Google entdeckten Zero-Days gehören CVE-2021-1879 in Safari, CVE-2021-21166 und CVE-2021-30551 in Chrome und CVE-2021-33742 in Internet Explorer.
Mit der Safari Zero-Day-Kampagne nutzten Hacker LinkedIn-Nachrichten, um Regierungsbeamte aus westeuropäischen Ländern anzugreifen und bösartige Links zu senden, die Ziele auf von Angreifern kontrollierte Domänen richteten. Wenn das Ziel auf den Link von einem iOS-Gerät geklickt, die infizierte Website würde den Angriff über den Zero-Day initiieren.
„Dieser Exploit würde den Schutz vor Richtlinien mit derselben Herkunft deaktivieren, um Authentifizierungscookies von mehreren beliebten Websites wie Google, Microsoft, LinkedIn, Facebook und Yahoo zu sammeln und sie über WebSocket an eine vom Angreifer kontrollierte IP zu senden“, sagten Google-TAG-Forscher. „Das Opfer müsste eine Sitzung auf diesen Websites von Safari aus geöffnet haben, damit Cookies erfolgreich exfiltriert werden können.“
Google-Forscher sagten, die Angreifer seien wahrscheinlich Teil eines von der russischen Regierung unterstützten Akteurs, der diesen Zero-Day missbraucht, um auf iOS-Geräte mit älteren Versionen von iOS (12.4 bis 13.7) abzuzielen. Das Sicherheitsteam von Google meldete den Zero-Day an Apple, das am 26.
Die beiden Chrome-Sicherheitsanfälligkeiten waren Renderer-Remotecodeausführung Zero-Days und es wird angenommen, dass sie von demselben Akteur verwendet wurden. Beide Zero-Days zielten auf die neuesten Versionen von Chrome unter Windows ab und wurden als einmalige Links per E-Mail an die Ziele gesendet. Wenn ein Ziel auf den Link klickte, wurden sie an vom Angreifer kontrollierte Domänen gesendet, und ihr Gerät erhielt Fingerabdrücke auf Informationen, anhand derer die Angreifer feststellten, ob der Exploit bereitgestellt werden sollte oder nicht. Google sagte, alle Ziele seien in Armenien.
Mit der Internet Explorer-Sicherheitsanfälligkeit haben Google-Forscher eine Kampagne entdeckt, die sich an Internetnutzer mit schädlichen Office-Dokumenten richtet, die Webinhalte in den Browser laden.
„Basierend auf unserer Analyse bewerten wir, dass die hier beschriebenen Chrome- und Internet Explorer-Exploits von demselben Anbieter entwickelt und verkauft wurden, der Kunden auf der ganzen Welt Überwachungsfunktionen bietet“, sagte Google.
Google veröffentlichte auch eine Ursachenanalyse für alle vier Null-Tage:
- CVE-2021-1879: Use-After-Free in QuickTimePluginReplacement
- CVE-2021-21166: Problem mit dem Lebenszyklus von Chrome-Objekten in Audio
- CVE-2021-30551: Verwirrung des Chrome-Typs in V8
- CVE-2021-33742: Internet Explorer außerhalb der Grenzen MSHTML