o Google divulgou novos detalhes sobre quatro vulnerabilidades de segurança de dia zero que foram exploradas na natureza no início deste ano. Descoberto pelo Grupo de Análise de ameaças do Google (TAG) e pesquisadores do Project Zero, os quatro dias zero foram usados como parte de três campanhas de malware direcionadas que exploraram falhas anteriormente desconhecidas no Google Chrome, Internet Explorer e WebKit, o mecanismo de navegador usado pelo Safari da Apple.Os pesquisadores do Google também observaram que 2021 tem sido um ano particularmente ativo para ataques de dia zero in-the-wild. Até agora, este ano, 33 explorações de dia zero usadas em ataques foram divulgadas publicamente — 11 a mais do que o número total de 2020. O Google atribui parte do aumento em zero dias a maiores esforços de detecção e divulgação, mas disse que o aumento também se deve à proliferação de fornecedores comerciais que vendem acesso a vulnerabilidades de dia zero em comparação com o início dos anos 2010.”Os recursos de 0 dias costumavam ser apenas as ferramentas de estados-nação selecionados que tinham o conhecimento técnico para encontrar vulnerabilidades de 0 dias, desenvolvê-las em explorações e, em seguida, operacionalizar estrategicamente seu uso”, disse o Google em um post no blog. “Em meados da década de 2010, mais empresas privadas aderiram ao mercado vendendo esses recursos de 0 dias. Os grupos não precisam mais ter o conhecimento técnico, agora eles só precisam de recursos. Três dos quatro 0 dias que o TAG descobriu em 2021 se enquadram nessa categoria: desenvolvido por fornecedores comerciais e vendido e usado por atores apoiados pelo governo.”
Como para o zero-dias descobri pelo Google, as façanhas incluem CVE-2021-1879 no Safari, CVE-2021-21166 e CVE-2021-30551 no Chrome, e CVE-2021-33742 no Internet Explorer.Com a campanha Safari de dia zero, hackers usaram mensagens do LinkedIn para atingir funcionários do governo de países da Europa Ocidental, enviando links maliciosos que direcionavam alvos para domínios controlados por invasores. Se o alvo clicasse no link de um dispositivo iOS, o site infectado iniciaria o ataque por meio do dia zero.”Essa exploração desativaria as proteções de Política de mesma origem para coletar cookies de autenticação de vários sites populares, incluindo Google, Microsoft, LinkedIn, Facebook e Yahoo, e enviá-los via WebSocket para um IP controlado por invasor”, disseram pesquisadores do Google TAG. “A vítima precisaria ter uma sessão aberta nesses sites do Safari para que os cookies sejam exfiltrados com sucesso.Pesquisadores do Google disseram que os atacantes provavelmente faziam parte de um ator apoiado pelo governo russo abusando desse dia zero para atingir dispositivos iOS executando versões mais antigas do iOS (12,4 a 13,7). A equipe de segurança do Google informou o dia zero à Apple, que emitiu um patch em 26 de março por meio de uma atualização do iOS.
as duas vulnerabilidades do Chrome foram renderizadoras de Execução Remota de código em zero dias e acredita-se que tenham sido usadas pelo mesmo ator. Ambos os dias zero tinham como alvo as versões mais recentes do Chrome no Windows e foram entregues como links únicos enviados por e-mail para os alvos. Quando um alvo clicou no link, eles foram enviados para domínios controlados por invasores e seu dispositivo foi impresso com impressão digital para obter informações que os invasores usaram para determinar se entregariam ou não o exploit. O Google disse que todos os alvos estavam na Armênia. Com a vulnerabilidade do Internet Explorer, o Google disse que seus pesquisadores descobriram uma campanha direcionada a usuários armênios com documentos maliciosos do Office que carregavam conteúdo da web dentro do navegador.”Com base em nossa análise, avaliamos que os exploits do Chrome e do Internet Explorer descritos aqui foram desenvolvidos e vendidos pelo mesmo fornecedor que fornece recursos de vigilância para clientes em todo o mundo”, disse o Google.
o Google também publicou uma análise de causa raiz para os quatro zero-dias:
- CVE-2021-1879: Uso Após Livre na QuickTimePluginReplacement
- CVE-2021-21166: Chrome Objeto do Ciclo de vida do Problema no Áudio
- CVE-2021-30551: Cromo Tipo de Confusão no V8
- CVE-2021-33742: Internet Explorer out-of-bounds escrever no MSHTML