Googleは、今年初めに悪用された4つのゼロデイセキュリティ脆弱性に関する新たな詳細を発表しました。 GoogleのThreat Analysis Group(TAG)とProject Zeroの研究者によって発見された4つのzero-daysは、Google Chrome、Internet Explorer、AppleのSafariで使用されているブラウザエンジンであるWebKitの未知の欠陥を悪用した3つの標的型マルウェアキャンペーンの一部として使用されました。
Googleの研究者はまた、2021年は野生のゼロデイ攻撃のために特に活発な年であったと指摘した。 今年のこれまでのところ、攻撃で使用された33のゼロデイ攻撃が公開されており、11は2020年の総数よりも多くなっています。
Googleは、ゼロ日の上昇の一部は、より大きな検出と開示の努力に起因すると述べたが、この上昇は、2010年代初頭と比較して、ゼロデイ脆弱性へのアクセスを販売する商用ベンダーの急増によるものでもあると述べた。
「0日間の機能は、0日間の脆弱性を発見し、悪用に発展させ、その使用を戦略的に運用するための技術的専門知識を持っていた特定の国のツールだ」とGoogleはブログ記事で述べている。 “2010年代半ばから後半には、より多くの民間企業がこれらの0日間の機能を販売する市場に参加しています。 もはやグループは技術的な専門知識を持っている必要はありません、今、彼らはただのリソースを必要とします。 TAGが2021年に発見した4つの0日間のうち3つがこのカテゴリに分類されます: 商業提供者によって開発され、政府支援の俳優に販売され、使用されます。Googleによって発見されたゼロ日については、Safariのcve-2021-1879、ChromeのCve-2021-21166とCve-2021-30551、Internet ExplorerのCve-2021-33742が悪用されています。
Safariゼロデイキャンペーンでは、ハッカーはLinkedInメッセージングを使用して西ヨーロッパ諸国の政府関係者をターゲットにし、攻撃者が制御するドメインにターゲットを向けた悪意のあるリンクを送信しました。 ターゲットがiOSデバイスからのリンクをクリックした場合、感染したwebサイトはゼロデイを介して攻撃を開始します。
「この悪用は、Google、Microsoft、LinkedIn、Facebook、Yahooなどのいくつかの一般的なwebサイトから認証cookieを収集し、WebSocketを介して攻撃者が制御するIPに送信するために、同一オリジンポ “被害者は、クッキーが正常に抽出されるためには、Safariからこれらのウェブサイト上でセッションを開く必要があります。”
Googleの研究者は、攻撃者は、古いバージョンのiOS(12.4から13.7)を実行しているiOSデバイスを標的にするために、このゼロデイを悪用するロシア政府支援のアクターの一部である可能性が高いと述べた。 Googleのセキュリティチームは、iOSのアップデートを通じて3月26日にパッチを発行したAppleにゼロデイを報告しました。
二つのChromeの脆弱性は、レンダラーのリモートでコードが実行されるゼロ日間であり、同じアクターによって使用されていると考えられています。 ゼロ日の両方は、Windows上のChromeの最新バージョンをターゲットにしていたし、ターゲットに電子メールを介して送信されたワンタイムリンクとして配信されました。 ターゲットがリンクをクリックすると、攻撃者が制御するドメインに送信され、攻撃者が悪用を提供するかどうかを判断するために使用した情報の Googleは、ターゲットのすべてがアルメニアにあったと述べました。
Internet Explorerの脆弱性により、Googleの研究者は、ブラウザ内にwebコンテンツをロードする悪意のあるOfficeドキュメントを持つアルメニア人ユーザーを対象としたキャンペー
「我々の分析に基づいて、ここで説明したChromeとInternet Explorerの悪用は、世界中の顧客に監視機能を提供する同じベンダーによって開発され、販売されたと評価しています」とGoogleは述べています。
Googleはまた、4つのゼロ日間すべての根本原因分析を公開しました:
- Cve-2021-1879:QuickTimePluginReplacement
- でのUse-After-Free CVE-2021-21166:オーディオのChromeオブジェクトライフサイクルの問題
- Cve-2021-30551:V8のChromeタイプの混乱
- Cve-2021-33742:Internet Explorerの範囲外書き込みMSHTMLで