Google on julkaissut uusia tietoja neljästä nollapäivän tietoturvahaavoittuvuudesta, joita hyödynnettiin luonnossa aiemmin tänä vuonna. Googlen Threat Analysis Group (TAG) ja Project Zero researchers löysivät neljä nollapäivää osana kolmea kohdennettua haittaohjelmakampanjaa, joissa hyödynnettiin aiemmin tuntemattomia puutteita Google Chromessa, Internet Explorerissa ja WebKitissä, Applen Safarin käyttämässä selainmoottorissa.
Googlen tutkijat totesivat myös, että vuosi 2021 on ollut erityisen aktiivinen vuosi hurjille nollapäivähyökkäyksille. Tähän mennessä tänä vuonna on julkistettu 33 iskuissa käytettyä nollapäivän hyväksikäyttöä-11 enemmän kuin koko määrä vuodesta 2020.
Google attribuutteja joitakin uptick nollapäivien suurempi havaitseminen ja paljastaminen pyrkimyksiä, mutta sanoi nousu johtuu myös leviämisen kaupallisten toimittajien myyvät pääsy nollapäivän haavoittuvuuksia verrattuna 2010-luvun alussa.
”0-päivän valmiudet olivat aiemmin vain tiettyjen kansallisvaltioiden työkaluja, joilla oli teknistä asiantuntemusta löytää 0-päivän haavoittuvuuksia, kehittää niitä hyväksikäytöiksi ja sitten strategisesti operationalisoida niiden käyttö”, Google kertoi blogikirjoituksessaan. ”2010-luvun puolivälin ja lopun välillä markkinoille on tullut lisää yksityisiä yrityksiä, jotka myyvät näitä 0-päivän ominaisuuksia. Enää ryhmillä ei tarvitse olla teknistä osaamista, nyt ne tarvitsevat vain resursseja. Kolme neljästä 0-päivää, että TAG on löytänyt vuonna 2021 kuuluvat tähän luokkaan: kaupallisten tarjoajien kehittämä ja valtion tukemien toimijoiden myymä ja käyttämä.”
mitä Googlen löytämiin nollapäiviin tulee, hyväksikäyttöjä ovat muun muassa CVE-2021-1879 Safarissa, CVE-2021-21166 ja CVE-2021-30551 Chromessa sekä CVE-2021-33742 Internet Explorerissa.
Safari zero-day-kampanjassa hakkerit käyttivät LinkedIn-viestittelyä kohdistaakseen kohteensa Länsi-Euroopan maiden viranomaisiin, lähettäen haitallisia linkkejä, jotka ohjasivat kohteita hyökkääjien hallitsemille verkkotunnuksille. Jos kohde klikkaisi linkkiä iOS-laitteesta, tartunnan saanut sivusto aloittaisi hyökkäyksen nollapäivän kautta.
”tämä haavoittuvuus sammuttaisi saman alkuperän politiikan suojaukset, jotta voitaisiin kerätä todennusevästeitä useilta suosituilta verkkosivustoilta, mukaan lukien Google, Microsoft, LinkedIn, Facebook ja Yahoo, ja lähettää ne Websocketin kautta hyökkääjän hallitsemalle IP: lle”, Google tagin tutkijat sanoivat. ”Uhrin pitäisi olla istunto auki näillä Safarin sivustoilla, jotta evästeet voidaan poistaa onnistuneesti.”
Googlen tutkijat sanoivat, että hyökkääjät olivat todennäköisesti osa Venäjän hallituksen tukemaa toimijaa, joka käytti tätä nollapäivää väärin kohdentaakseen iOS-laitteita, jotka käyttävät vanhempia iOS-versioita (12.4-13.7). Googlen tietoturvatiimi ilmoitti nollapäivästä Applelle, joka julkaisi korjauksen 26.maaliskuuta iOS-päivityksen kautta.
kaksi Chromen haavoittuvuutta olivat renderer – etäkoodin suorituksen nollapäiviä ja niiden uskotaan olleen saman toimijan käytössä. Molemmat nollapäivät kohdistuivat Chromen uusimpiin versioihin Windowsissa ja ne toimitettiin kertalinkkeinä, jotka lähetettiin sähköpostitse kohteille. Kun kohde klikasi linkkiä, ne lähetettiin hyökkääjien hallitsemille verkkotunnuksille ja heidän laitteeltaan otettiin sormenjäljet tiedoista, joita hyökkääjät käyttivät määrittääkseen, toimittaako haavoittuvuus vai ei. Googlen mukaan kaikki kohteet olivat Armeniassa.
Internet Explorer-haavoittuvuuden myötä Google sanoi tutkijoidensa löytäneen kampanjan, joka kohdistui armenialaiskäyttäjiin haitallisilla Office-asiakirjoilla, jotka latasivat verkkosisältöä selaimeen.
”analyysimme perusteella arvioimme, että tässä kuvatut Chrome-ja Internet Explorer-hyväksikäytöt on kehittänyt ja myynyt sama toimittaja, joka tarjoaa valvontaominaisuuksia asiakkaille ympäri maailmaa”, Google kertoi.
Google julkaisi myös juurisyyanalyysin kaikille neljälle nollapäivälle:
- CVE-2021-1879: Use-After-Free in Quicktimepluginsijoitus
- CVE-2021-21166: Chrome Object Lifecycle Issue in Audio
- CVE-2021-30551: Chrome Type Confusion in V8
- CVE-2021-33742: Internet Explorer out-of-bounds Kirjoita mshtml