Google opublikował nowe informacje na temat czterech luk w zabezpieczeniach zero-day, które zostały wykorzystane w środowisku naturalnym na początku tego roku. Odkryte przez Google ’ s Threat Analysis Group (TAG) i Project Zero researchers, cztery zero-days zostały wykorzystane jako część trzech ukierunkowanych kampanii złośliwego oprogramowania, które wykorzystywały wcześniej nieznane wady Google Chrome, Internet Explorer i WebKit, silnika przeglądarki używanego przez Apple Safari.
badacze Google zauważyli również, że rok 2021 był szczególnie aktywny w przypadku ataków typu „zero-day”. Do tej pory w tym roku publicznie ujawniono 33 exploity zero-day wykorzystywane w atakach — o 11 więcej niż całkowita liczba z 2020 roku.
Google przypisuje część wzrostu w zero-dni do większych wysiłków wykrywania i ujawniania, ale powiedział, że wzrost jest również spowodowany rozprzestrzenianiem się komercyjnych dostawców sprzedających dostęp do luk w zabezpieczeniach zero-day w porównaniu do wczesnych lat 2010.
„możliwości 0-day były tylko narzędziami wybranych państw narodowych, które miały techniczną wiedzę, aby znaleźć luki w zabezpieczeniach 0-day, rozwinąć je w exploity, a następnie strategicznie operacjonalizować ich wykorzystanie”, powiedział Google w poście na blogu. „W połowie i pod koniec 2010 roku, więcej prywatnych firm dołączyło do rynku sprzedając te możliwości 0-day. Grupy nie muszą już posiadać specjalistycznej wiedzy technicznej, teraz po prostu potrzebują zasobów. Trzy z czterech 0-dni odkrytych przez TAG w 2021 należą do tej kategorii: opracowany przez dostawców komercyjnych i sprzedawany i używany przez podmioty wspierane przez rząd.”
jeśli chodzi o zero-days odkryte przez Google, exploity obejmują CVE-2021-1879 w przeglądarce Safari, CVE-2021-21166 i CVE-2021-30551 w przeglądarce Chrome i CVE-2021-33742 w przeglądarce Internet Explorer.
w kampanii Safari zero-day hakerzy używali wiadomości LinkedIn do kierowania na urzędników rządowych z krajów Europy Zachodniej, wysyłając złośliwe linki, które kierowały cele do domen kontrolowanych przez atakującego. Jeśli cel kliknie łącze z urządzenia z systemem iOS, zainfekowana witryna zainicjuje atak za pośrednictwem dnia zerowego.
„ten exploit wyłączy zabezpieczenia tego samego pochodzenia w celu zbierania uwierzytelniających plików cookie z kilku popularnych witryn, w tym Google, Microsoft, LinkedIn, Facebook i Yahoo i wysyłania ich za pośrednictwem WebSocket do IP kontrolowanego przez atakującego”, powiedzieli badacze tagów Google. „Ofiara musiałaby mieć sesję otwartą na tych stronach internetowych z Safari, aby pliki cookie zostały pomyślnie usunięte.”
badacze Google stwierdzili, że napastnicy byli prawdopodobnie częścią rosyjskiego aktora wspieranego przez rząd nadużywającego tego zero-day, aby atakować Urządzenia z systemem iOS ze starszymi wersjami iOS (12.4 do 13.7). Zespół ds. bezpieczeństwa Google poinformował firmę Apple o zero-day, która wydała łatkę 26 marca za pośrednictwem aktualizacji systemu iOS.
dwie luki Chrome były renderowane zdalnym wykonywaniem kodu zero-days I uważa się, że były używane przez tego samego aktora. Oba dni zerowe były skierowane na najnowsze wersje Chrome w systemie Windows i były dostarczane jako jednorazowe linki wysyłane pocztą elektroniczną do celów. Gdy cel kliknął łącze, został wysłany do domen kontrolowanych przez atakującego, a jego urządzenie zostało pobrane z odciskiem palca w celu uzyskania informacji, które napastnicy użyli do ustalenia, czy dostarczyć exploita. Google powiedział, że wszystkie cele były w Armenii.
w związku z luką w Internet Explorer, Google twierdzi, że jego naukowcy odkryli kampanię skierowaną do użytkowników ze złośliwymi dokumentami biurowymi, które ładowały treści internetowe w przeglądarce.
„na podstawie naszej analizy oceniamy, że opisane tutaj exploity Chrome i Internet Explorer zostały opracowane i sprzedane przez tego samego dostawcę, zapewniając możliwości nadzoru klientom na całym świecie” – powiedział Google.
Google opublikowało również analizę przyczyn źródłowych dla wszystkich czterech zerowych dni:
- CVE-2021-1879: Użyj po-Free W QuickTimePluginReplacement
- CVE-2021-21166: problem z cyklem życia obiektu Chrome W Audio
- CVE-2021-30551: zamieszanie typu Chrome W V8
- CVE-2021-33742: Internet Explorer niedostępny zapis w mshtml