Google har gitt ut nye detaljer om fire zero-day sikkerhetsproblemer som ble utnyttet i naturen tidligere i år. Oppdaget Av Googles Threat Analysis Group (TAG) og Project Zero-forskere, ble de fire nulldagene brukt som en del av tre målrettede malware-kampanjer som utnyttet tidligere ukjente feil I Google Chrome, Internet Explorer og WebKit, nettlesermotoren som Brukes Av Apples Safari.
Googles forskere bemerket også at 2021 har vært et spesielt aktivt år for in-the-wild zero-day-angrep. Hittil i år har 33 nulldagers utnyttelser brukt i angrep blitt offentliggjort-11 mer enn totalt antall fra 2020.
Google attributter noen av uptick i null-dager til større deteksjon og avsløring innsats, men sa økningen er også på grunn av spredning av kommersielle leverandører som selger tilgang til zero-day sårbarheter i forhold til tidlig på 2010-tallet.
«0-dagers evner pleide å være bare verktøyene til utvalgte nasjonalstater som hadde den tekniske ekspertisen til å finne 0-dagers sårbarheter, utvikle dem til utnyttelser, og deretter strategisk operasjonalisere bruken av dem,» Sa Google i et blogginnlegg. «I midten til slutten av 2010-tallet har flere private selskaper sluttet seg til markedet som selger disse 0-dagers evner. Ikke lenger trenger grupper å ha teknisk kompetanse, nå trenger de bare ressurser. Tre av de fire 0-dagene SOM TAG har oppdaget i 2021 faller inn i denne kategorien: utviklet av kommersielle leverandører og solgt til og brukt av statsstøttede aktører.»
når Det gjelder nulldager oppdaget Av Google, inkluderer utnyttelsene CVE-2021-1879 I Safari, CVE-2021-21166 og CVE-2021-30551 I Chrome og CVE-2021-33742 I Internet Explorer.
med safari zero-day-kampanjen brukte hackere LinkedIn-Meldinger til å målrette myndigheter fra vesteuropeiske land, og sendte ondsinnede lenker som rettet mål til angriperstyrte domener. Hvis målet klikket på lenken fra en iOS-enhet, ville det infiserte nettstedet starte angrepet via nulldagen.
» denne utnyttelsen vil slå Av Beskyttelse Av Samme Opprinnelse for å samle autentiseringskapsler fra Flere populære nettsteder, inkludert Google, Microsoft, LinkedIn, Facebook Og Yahoo og sende dem via WebSocket til en angriperstyrt IP, » Sa Google TAG-forskere. «Offeret må ha en økt åpen på Disse nettstedene Fra Safari for at informasjonskapsler skal kunne eksfiltreres.»
Google-forskere sa at angriperne sannsynligvis var en del av en russisk regjeringsstøttet skuespiller som misbrukte denne nulldagen for å målrette iOS-enheter som kjører eldre versjoner av iOS (12.4 til 13.7). Googles sikkerhetsteam rapporterte nulldagen Til Apple, som utstedte en oppdatering 26. Mars gjennom en iOS-oppdatering.
De to Chrome-sårbarhetene var renderer remote code execution zero-days og antas å ha blitt brukt av samme skuespiller. Begge nulldagene var rettet mot de nyeste versjonene Av Chrome På Windows og ble levert som engangskoblinger sendt via e-post til målene. Når et mål klikket på lenken, ble de sendt til angriperstyrte domener, og enheten deres ble fingeravtrykk for informasjon som angriperne brukte til å avgjøre om de skulle levere utnyttelsen eller ikke. Google sa at alle målene var I Armenia.
med sårbarheten I Internet Explorer, Sa Google at forskerne oppdaget en kampanje rettet mot armenske brukere med ondsinnede Office-dokumenter som lastet webinnhold i nettleseren.
» Basert på vår analyse vurderer Vi At Utnyttelsene Av Chrome og Internet Explorer beskrevet her ble utviklet og solgt av samme leverandør som gir overvåkingsfunksjoner til kunder over hele verden,» Sa Google.
google publiserte også rotårsaksanalyse for alle fire nulldager:
- CVE-2021-1879: Bruk-Etter-Gratis I QuickTimePluginReplacement
- CVE-2021-21166: Chrome Objekt Livssyklus Problem I Lyd
- CVE-2021-30551: Chrome Type Forvirring I V8
- CVE-2021-33742: Internet Explorer out-of-bounds skrive I MSHTML