Google ha publicado nuevos detalles sobre cuatro vulnerabilidades de seguridad de día cero que se explotaron en la naturaleza a principios de este año. Descubiertos por el Grupo de Análisis de Amenazas de Google (TAG) y los investigadores del Proyecto Cero, los cuatro días cero se utilizaron como parte de tres campañas de malware dirigidas que explotaban fallas previamente desconocidas en Google Chrome, Internet Explorer y WebKit, el motor de navegador utilizado por Safari de Apple.
Los investigadores de Google también señalaron que 2021 ha sido un año particularmente activo para los ataques de día cero in-the-wild. En lo que va del año, se han divulgado públicamente 33 exploits de día cero utilizados en ataques, 11 más que el número total de 2020.
Google atribuye parte del repunte en días cero a mayores esfuerzos de detección y divulgación, pero dijo que el aumento también se debe a la proliferación de proveedores comerciales que venden acceso a vulnerabilidades de día cero en comparación con principios de la década de 2010.
«Las capacidades de 0 días solían ser solo las herramientas de estados nacionales seleccionados que tenían la experiencia técnica para encontrar vulnerabilidades de 0 días, convertirlas en exploits y luego operacionalizar estratégicamente su uso», dijo Google en una publicación de blog. «A mediados y finales de la década de 2010, más empresas privadas se unieron al mercado vendiendo estas capacidades de 0 días. Los grupos ya no necesitan tener la experiencia técnica, ahora solo necesitan recursos. Tres de los cuatro 0 días que TAG ha descubierto en 2021 entran en esta categoría: desarrollado por proveedores comerciales y vendido y utilizado por actores respaldados por el gobierno.»
En cuanto a los días cero descubiertos por Google, los exploits incluyen CVE-2021-1879 en Safari, CVE-2021-21166 y CVE-2021-30551 en Chrome, y CVE-2021-33742 en Internet Explorer.
Con la campaña Safari de día cero, los hackers utilizaron mensajes de LinkedIn para dirigirse a funcionarios gubernamentales de países de Europa occidental, enviando enlaces maliciosos que dirigían a los objetivos a dominios controlados por atacantes. Si el objetivo hacía clic en el enlace desde un dispositivo iOS, el sitio web infectado iniciaría el ataque a través del día cero.
«Este exploit desactivaría las protecciones de Políticas del Mismo Origen para recopilar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook y Yahoo, y enviarlas a través de WebSocket a una IP controlada por un atacante», dijeron investigadores de etiquetas de Google. «La víctima necesitaría tener una sesión abierta en estos sitios web desde Safari para que las cookies se eliminen con éxito.»
Investigadores de Google dijeron que los atacantes probablemente eran parte de un actor respaldado por el gobierno ruso que abusaba de este día cero para apuntar a dispositivos iOS que ejecutan versiones anteriores de iOS (12.4 a 13.7). El equipo de seguridad de Google informó el día cero a Apple, que emitió un parche el 26 de marzo a través de una actualización de iOS.
Las dos vulnerabilidades de Chrome eran de ejecución de código remoto de renderizador de cero días y se cree que fueron utilizadas por el mismo actor. Ambos de los días cero se dirigían a las últimas versiones de Chrome en Windows y se entregaron como enlaces de una sola vez enviados por correo electrónico a los objetivos. Cuando un objetivo hacía clic en el enlace, se enviaba a dominios controlados por atacantes y se tomaban las huellas dactilares de su dispositivo para obtener información que los atacantes utilizaban para determinar si entregaban o no el exploit. Google dijo que todos los objetivos estaban en Armenia.
Con la vulnerabilidad de Internet Explorer, Google dijo que sus investigadores descubrieron una campaña dirigida a usuarios armenios con documentos de Oficina maliciosos que cargaban contenido web dentro del navegador.
«En base a nuestro análisis, evaluamos que los exploits de Chrome e Internet Explorer descritos aquí fueron desarrollados y vendidos por el mismo proveedor que proporciona capacidades de vigilancia a clientes de todo el mundo», dijo Google.
Google también publicó análisis de causa raíz para los cuatro días cero:
- CVE-2021-1879: Uso después de liberar en QuickTimePluginReplacement
- CVE-2021-21166: Problema del ciclo de vida de los objetos de Chrome en Audio
- CVE-2021-30551: Confusión de tipos de Chrome en V8
- CVE-2021-33742: Escritura fuera de los límites de Internet Explorer MSHTML