a Google új részleteket tett közzé négy nulladik napi biztonsági réseket, amelyek kihasználták a vad idén. A Google Threat Analysis Group (tag) és a Project Zero kutatói által felfedezett négy nulladik napot három célzott malware kampány részeként használták fel, amelyek a Google Chrome, Az Internet Explorer és a WebKit, az Apple Safari által használt böngészőmotor korábban ismeretlen hibáit használták ki.
a Google kutatói azt is megjegyezték, hogy 2021 különösen aktív év volt a vadon belüli nulla napos támadások szempontjából. Ebben az évben eddig 33, a támadásokban használt nulla napos kihasználást hoztak nyilvánosságra-11 — gyel több, mint a 2020-as teljes szám.
a Google a zero-days felfutásának egy részét a nagyobb Észlelési és közzétételi erőfeszítéseknek tulajdonítja, de azt is elmondta, hogy a növekedés annak is köszönhető, hogy a 2010-es évek elejéhez képest egyre több kereskedelmi szolgáltató ad el hozzáférést a zero-day sebezhetőségekhez.
“a 0 Napos képességek korábban csak egyes nemzetállamok eszközei voltak, akiknek megvolt a technikai szakértelmük ahhoz, hogy megtalálják a 0 Napos sebezhetőségeket, kiaknázzák őket, majd stratégiailag működőképessé tegyék használatukat”-mondta a Google egy blogbejegyzésben. “A 2010-es évek közepén-végén több magáncég csatlakozott a piachoz, amelyek eladják ezeket a 0 Napos képességeket. A csoportoknak már nincs szükségük technikai szakértelemre, most már csak erőforrásokra van szükségük. A TAG által 2021-ben felfedezett négy 0 nap közül három ebbe a kategóriába tartozik: kereskedelmi szolgáltatók fejlesztették ki, és kormány által támogatott szereplőknek értékesítették és használják.”
ami a Google által felfedezett nulla napokat illeti, a kihasználások közé tartozik a CVE-2021-1879 a Safariban, a CVE-2021-21166 és a CVE-2021-30551 a Chrome-ban, valamint a CVE-2021-33742 az Internet Explorerben.
a Safari nulladik napi kampányával a hackerek a LinkedIn üzenetküldés segítségével célozták meg a nyugat-európai országok kormányzati tisztviselőit, rosszindulatú linkeket küldve, amelyek a támadók által ellenőrzött domainekre irányították a célpontokat. Ha a cél egy iOS-eszközről kattintott a linkre, a fertőzött webhely a nulla napon keresztül kezdeményezi a támadást.
“ez az exploit kikapcsolná az azonos eredetű házirendek védelmét annak érdekében, hogy azonosítási cookie-kat gyűjtsön több népszerű webhelyről, beleértve a Google-t, a Microsoftot, a LinkedIn-t, a Facebook-ot és a Yahoo-t, és azokat a WebSocket-en keresztül küldje el a támadók által ellenőrzött IP-nek” – mondta a Google TAG kutatói. “Az áldozatnak meg kell nyitnia egy munkamenetet ezeken a webhelyeken a Safariból, hogy a cookie-k sikeresen kiszűrhetők legyenek.”
a Google kutatói szerint a támadók valószínűleg egy orosz kormány által támogatott szereplő részei voltak, akik visszaéltek ezzel a nulla nappal, hogy az iOS régebbi verzióit (12.4-13.7) futtató iOS eszközöket célozzák meg. A Google biztonsági csapata jelentette a nulla napot az Apple-nek, amely március 26-án kiadott egy javítást egy iOS-frissítés révén.
a Chrome két biztonsági rése nulla napos Távoli kódfuttatás volt, és úgy vélik, hogy ugyanaz a szereplő használta. Mindkét nulla nap a Chrome legújabb verzióit célozta meg a Windows rendszeren, és egyszeri linkként küldték el e-mailben a céloknak. Amikor egy célpont rákattintott a hivatkozásra, a támadók által ellenőrzött tartományokba küldték őket, és eszközükről ujjlenyomatot vettek, hogy információt kapjanak arról, hogy a támadók meghatározták-e a kihasználást. A Google szerint az összes célpont Örményországban volt.
az Internet Explorer biztonsági résével a Google azt mondta, hogy kutatói olyan kampányt fedeztek fel, amely örmény felhasználókat céloz meg rosszindulatú Office-dokumentumokkal, amelyek webes tartalmat töltöttek be a böngészőbe.
“elemzésünk alapján megállapítottuk, hogy az itt leírt Chrome-és Internet Explorer-kihasználásokat ugyanaz a gyártó fejlesztette ki és értékesítette, amely felügyeleti képességeket biztosít az ügyfeleknek szerte a világon” – mondta a Google.
a Google közzétette a kiváltó okok elemzését mind a négy nulla napra:
- CVE-2021-1879: használja-After-Free A QuickTimePluginReplacement
- CVE-2021-21166: Chrome objektum életciklus probléma Audio
- CVE-2021-30551: Chrome típusú zavart V8
- CVE-2021-33742: Internet Explorer Out-of-bounds írás MSHTML-ben