Google heeft nieuwe details vrijgegeven over vier zero-day beveiligingsproblemen die eerder dit jaar in het wild werden uitgebuit. Ontdekt door Google ’s Threat Analysis Group (TAG) en Project Zero onderzoekers, de vier zero-dagen werden gebruikt als onderdeel van drie gerichte malware campagnes die voorheen onbekende gebreken in Google Chrome uitgebuit, Internet Explorer, en WebKit, de browser die wordt gebruikt door Apple’ s Safari.
Google ‘ s onderzoekers merkten ook op dat 2021 een bijzonder actief jaar is geweest voor in-the-wild zero-day aanvallen. Tot nu toe dit jaar, 33 zero-day exploits gebruikt in aanvallen zijn openbaar gemaakt-11 meer dan het totale aantal van 2020.
Google schrijft een deel van de uptick in zero-days om grotere detectie en openbaarmaking inspanningen, maar zei dat de stijging is ook te wijten aan de proliferatie van commerciële leveranciers verkopen toegang tot zero-day kwetsbaarheden in vergelijking met de vroege 2010s.
“0-Dag mogelijkheden gebruikt om alleen de tools van geselecteerde natiestaten die de technische expertise had om 0-dag kwetsbaarheden te vinden, te ontwikkelen tot exploits, en vervolgens strategisch operationaliseren hun gebruik,” Google zei in een blog post. “In de mid-to-late 2010s, meer particuliere bedrijven zijn toegetreden tot de markt de verkoop van deze 0-Dag mogelijkheden. Groepen hoeven niet langer over de technische expertise te beschikken, nu hebben ze alleen maar middelen nodig. Drie van de vier 0-dagen die TAG in 2021 heeft ontdekt vallen in deze categorie: ontwikkeld door commerciële aanbieders en verkocht aan en gebruikt door door de overheid gesteunde actoren.”
voor de zero-days ontdekt door Google, de exploits omvatten CVE-2021-1879 in Safari, CVE-2021-21166 en CVE-2021-30551 in Chrome, en CVE-2021-33742 in Internet Explorer.
tijdens de Safari zero-day-campagne gebruikten hackers LinkedIn Messaging om overheidsfunctionarissen uit West-Europese landen aan te vallen. Als het doel geklikt op de link van een iOS-apparaat, de geà nfecteerde website zou de aanval te starten via de zero-day.
“Deze exploit zou uitschakelen dezelfde oorsprong-beleid beveiligingen om authenticatie cookies te verzamelen van verschillende populaire websites, waaronder Google, Microsoft, LinkedIn, Facebook en Yahoo en stuur ze via WebSocket naar een aanvaller gecontroleerde IP,” Google TAG onderzoekers zei. “Het slachtoffer zou moeten hebben een sessie open op deze websites van Safari voor cookies met succes worden exfiltrated.”
Google onderzoekers zeiden dat de aanvallers waren waarschijnlijk onderdeel van een Russische overheid gesteunde acteur misbruik maken van deze zero-day te richten op iOS-apparaten met oudere versies van iOS (12.4 tot en met 13.7). Google ‘ s security team meldde de zero-day aan Apple, die een patch uitgegeven op Maart 26 door middel van een iOS-update.
de twee Chrome kwetsbaarheden waren renderer remote code execution zero-days en worden verondersteld te zijn gebruikt door dezelfde actor. Beide zero-days waren gericht op de nieuwste versies van Chrome op Windows en werden geleverd als eenmalige links verzonden via e-mail naar de doelen. Wanneer een doel klikte op de link, ze werden verzonden naar aanvaller gecontroleerde domeinen en hun apparaat werd vingerafdrukken genomen voor informatie die de aanvallers gebruikt om te bepalen of de exploit te leveren. Google zei dat alle doelen in Armenië waren.
met de Internet Explorer kwetsbaarheid, Google zei dat de onderzoekers ontdekt een campagne gericht op Armeense gebruikers met kwaadaardige Office-documenten die webinhoud geladen in de browser.
” op basis van onze Analyse, we beoordelen dat de Chrome en Internet Explorer exploits hier beschreven werden ontwikkeld en verkocht door dezelfde leverancier het verstrekken van surveillance mogelijkheden aan klanten over de hele wereld, ” Google zei.
Google publiceerde ook basisoorzaak analyse voor alle vier nuldagen:
- CVE-2021-1879: Use-After-Free in Quicktimepluginvervanging
- CVE-2021-21166: Chrome object Lifecycle Issue in Audio
- CVE-2021-30551: Chrome Type verwarring in V8
- CVE-2021-33742: Internet Explorer out-of-bounds schrijf in MSHTML