Google a publié de nouveaux détails sur quatre vulnérabilités de sécurité zero-day qui ont été exploitées dans la nature plus tôt cette année. Découverts par les chercheurs du Threat Analysis Group (TAG) de Google et du projet Zero, les quatre zero-days ont été utilisés dans le cadre de trois campagnes de logiciels malveillants ciblées qui exploitaient des failles jusque-là inconnues de Google Chrome, Internet Explorer et WebKit, le moteur de navigateur utilisé par Safari d’Apple.
Les chercheurs de Google ont également noté que 2021 a été une année particulièrement active pour les attaques zero-day dans la nature. Jusqu’à présent cette année, 33 exploits zero-day utilisés dans des attaques ont été divulgués publiquement — 11 de plus que le nombre total de 2020.
Google attribue une partie de la hausse des zero-day à de plus grands efforts de détection et de divulgation, mais a déclaré que cette hausse était également due à la prolifération des fournisseurs commerciaux vendant l’accès aux vulnérabilités zero-day par rapport au début des années 2010.
« Les capacités de 0 jour n’étaient auparavant que les outils de certains États-nations qui avaient l’expertise technique nécessaire pour trouver des vulnérabilités de 0 jour, les transformer en exploits, puis opérationnaliser stratégiquement leur utilisation », a déclaré Google dans un article de blog. « Entre le milieu et la fin des années 2010, de plus en plus d’entreprises privées ont rejoint le marché en vendant ces capacités de 0 jour. Les groupes n’ont plus besoin d’avoir l’expertise technique, ils ont maintenant juste besoin de ressources. Trois des quatre 0 jours que TAG a découverts en 2021 entrent dans cette catégorie: développé par des fournisseurs commerciaux et vendu et utilisé par des acteurs soutenus par le gouvernement. »
En ce qui concerne les jours zéro découverts par Google, les exploits incluent CVE-2021-1879 dans Safari, CVE-2021-21166 et CVE-2021-30551 dans Chrome, et CVE-2021-33742 dans Internet Explorer.
Avec la campagne Safari zero-day, les pirates ont utilisé la messagerie LinkedIn pour cibler des responsables gouvernementaux de pays d’Europe occidentale, envoyant des liens malveillants qui dirigeaient les cibles vers des domaines contrôlés par les attaquants. Si la cible cliquait sur le lien à partir d’un appareil iOS, le site Web infecté lancerait l’attaque via le jour zéro.
« Cet exploit désactiverait les protections de la Même politique d’origine afin de collecter des cookies d’authentification de plusieurs sites Web populaires, notamment Google, Microsoft, LinkedIn, Facebook et Yahoo et de les envoyer via WebSocket à une adresse IP contrôlée par un attaquant », ont déclaré les chercheurs de Google TAG. « La victime aurait besoin d’une session ouverte sur ces sites Web à partir de Safari pour que les cookies soient exfiltrés avec succès. »
Les chercheurs de Google ont déclaré que les attaquants faisaient probablement partie d’un acteur soutenu par le gouvernement russe abusant de ce jour zéro pour cibler les appareils iOS exécutant d’anciennes versions d’iOS (12.4 à 13.7). L’équipe de sécurité de Google a signalé le jour zéro à Apple, qui a publié un correctif le 26 mars via une mise à jour iOS.
Les deux vulnérabilités Chrome étaient des jours zéro d’exécution de code à distance du moteur de rendu et auraient été utilisées par le même acteur. Les deux jours zéro ciblaient les dernières versions de Chrome sous Windows et étaient livrés sous forme de liens uniques envoyés par e-mail aux cibles. Lorsqu’une cible a cliqué sur le lien, elle a été envoyée à des domaines contrôlés par l’attaquant et son appareil a été saisi pour obtenir des informations que les attaquants ont utilisées pour déterminer s’il fallait ou non diffuser l’exploit. Google a déclaré que toutes les cibles étaient en Arménie.
Avec la vulnérabilité d’Internet Explorer, Google a déclaré que ses chercheurs avaient découvert une campagne ciblant les utilisateurs arméniens avec des documents Office malveillants qui chargeaient du contenu Web dans le navigateur.
« Sur la base de notre analyse, nous évaluons que les exploits de Chrome et d’Internet Explorer décrits ici ont été développés et vendus par le même fournisseur offrant des capacités de surveillance à des clients du monde entier », a déclaré Google.
Google a également publié une analyse des causes profondes pour les quatre jours zéro:
- CVE-2021-1879: Use-After-Free dans QuickTimePluginReplacement
- CVE-2021-21166: Problème de cycle de vie d’objet Chrome dans l’audio
- CVE-2021-30551: Confusion de type Chrome dans la V8
- CVE-2021-33742: Écriture hors limites d’Internet Explorer en MSHTML