Google ha rilasciato nuovi dettagli su quattro vulnerabilità di sicurezza zero-day che sono stati sfruttati in natura all’inizio di quest’anno. Scoperto da Google Threat Analysis Group (TAG) e Project Zero ricercatori, i quattro zero-giorni sono stati utilizzati come parte di tre campagne di malware mirati che sfruttavano difetti precedentemente sconosciuti in Google Chrome, Internet Explorer, e WebKit, il motore del browser utilizzato da Safari di Apple.
I ricercatori di Google hanno anche notato che 2021 è stato un anno particolarmente attivo per gli attacchi zero-day in-the-wild. Finora quest’anno, 33 exploit zero-day utilizzati negli attacchi sono stati resi pubblici — 11 in più rispetto al numero totale da 2020.
Google attribuisce alcuni dei uptick in zero-giorni a una maggiore rilevazione e divulgazione sforzi, ma ha detto che l’aumento è anche dovuto alla proliferazione di venditori commerciali che vendono l’accesso alle vulnerabilità zero-day rispetto ai primi anni 2010.
“Le funzionalità 0-day erano solo gli strumenti di stati nazionali selezionati che avevano l’esperienza tecnica per trovare vulnerabilità 0-day, svilupparle in exploit e quindi strategicamente rendere operativo il loro uso”, ha detto Google in un post sul blog. “A metà-fine 2010, più aziende private hanno aderito al mercato vendendo queste funzionalità 0-day. I gruppi non hanno più bisogno di avere le competenze tecniche, ora hanno solo bisogno di risorse. Tre dei quattro 0-giorni che TAG ha scoperto nel 2021 rientrano in questa categoria: sviluppato da fornitori commerciali e venduto e utilizzato da attori sostenuti dal governo.”
Per quanto riguarda gli zero-giorni scoperti da Google, gli exploit includono CVE-2021-1879 in Safari, CVE-2021-21166 e CVE-2021-30551 in Chrome e CVE-2021-33742 in Internet Explorer.
Con la campagna Safari zero-day, gli hacker hanno utilizzato la messaggistica LinkedIn per colpire i funzionari governativi dei paesi dell’Europa occidentale, inviando link dannosi che indirizzavano gli obiettivi ai domini controllati dagli aggressori. Se il bersaglio ha fatto clic sul collegamento da un dispositivo iOS, il sito Web infetto avvierebbe l’attacco tramite lo zero-day.
“Questo exploit avrebbe disattivato le protezioni della stessa origine al fine di raccogliere i cookie di autenticazione da diversi siti Web popolari, tra cui Google, Microsoft, LinkedIn, Facebook e Yahoo e inviarli tramite WebSocket a un IP controllato da un utente malintenzionato”, hanno detto i ricercatori di Google TAG. “La vittima avrebbe bisogno di avere una sessione aperta su questi siti web da Safari per i cookie per essere esfiltrati con successo.”
I ricercatori di Google hanno detto che gli aggressori erano probabilmente parte di un attore sostenuto dal governo russo che abusava di questo zero-day per indirizzare i dispositivi iOS che eseguono versioni precedenti di iOS (da 12.4 a 13.7). Il team di sicurezza di Google ha segnalato lo zero-day ad Apple, che ha rilasciato una patch il 26 marzo tramite un aggiornamento iOS.
Le due vulnerabilità di Chrome sono stati renderer esecuzione di codice remoto zero-giorni e si ritiene che sono stati utilizzati dallo stesso attore. Entrambi gli zero-giorni hanno preso di mira le ultime versioni di Chrome su Windows e sono stati consegnati come link una tantum inviati via e-mail agli obiettivi. Quando un target ha fatto clic sul collegamento, è stato inviato a domini controllati dall’attaccante e al suo dispositivo sono state rilevate le impronte digitali per le informazioni utilizzate dagli aggressori per determinare se consegnare o meno l’exploit. Google ha detto che tutti gli obiettivi erano in Armenia.
Con la vulnerabilità di Internet Explorer, Google ha detto che i suoi ricercatori hanno scoperto una campagna rivolta agli utenti armeni con documenti di Office dannosi che caricavano contenuti web all’interno del browser.
“Sulla base della nostra analisi, valutiamo che il Chrome e Internet Explorer exploit qui descritti sono stati sviluppati e venduti dallo stesso fornitore che fornisce funzionalità di sorveglianza ai clienti di tutto il mondo,” Google ha detto.
Google ha anche pubblicato l’analisi delle cause, per tutti e quattro a zero giorni:
- CVE-2021-1879: Use-After-Free nella QuickTimePluginReplacement
- CVE-2021-21166: Cromo Oggetto del Ciclo di vita Problema Audio
- CVE-2021-30551: Cromato Tipo di Confusione in V8
- CVE-2021-33742: Internet Explorer out-of-bounds scrivere in MSHTML