Google a lansat noi detalii despre patru vulnerabilități de securitate zero-day care au fost exploatate în sălbăticie la începutul acestui an. Descoperite de cercetătorii Google Threat Analysis Group (TAG) și Project Zero, cele patru zile zero au fost utilizate ca parte a trei campanii malware direcționate care au exploatat defecte necunoscute anterior în Google Chrome, Internet Explorer și WebKit, Motorul de browser utilizat de Safari Apple.
cercetătorii Google au remarcat, de asemenea, că 2021 a fost un an deosebit de activ pentru atacurile de zi zero în sălbăticie. Până în acest an, 33 de exploatări zero-day utilizate în atacuri au fost dezvăluite public — cu 11 mai mult decât numărul total din 2020.
Google atribuie o parte din creșterea în zero-days unor eforturi mai mari de detectare și dezvăluire, dar a spus că creșterea se datorează și proliferării furnizorilor comerciali care vând acces la vulnerabilități zero-day comparativ cu începutul anilor 2010.
„capabilitățile de 0 zile erau doar instrumentele statelor naționale selectate care aveau expertiza tehnică pentru a găsi vulnerabilități de 0 zile, a le dezvolta în exploatări și apoi a le operaționaliza strategic utilizarea”, a spus Google într-o postare pe blog. „La mijlocul până la sfârșitul anilor 2010, mai multe companii private s-au alăturat pieței care vând aceste capacități de 0 zile. Grupurile nu mai au nevoie de expertiza tehnică, acum au nevoie doar de resurse. Trei dintre cele patru 0 zile pe care TAG le-a descoperit în 2021 se încadrează în această categorie: dezvoltat de furnizori comerciali și vândut și utilizat de actori susținuți de guvern.”
în ceea ce privește zilele zero descoperite de Google, exploatările includ CVE-2021-1879 în Safari, CVE-2021-21166 și CVE-2021-30551 în Chrome și CVE-2021-33742 în Internet Explorer.
cu campania Safari zero-day, hackerii au folosit mesageria LinkedIn pentru a viza oficiali guvernamentali din țările din Europa de Vest, trimițând link-uri rău intenționate care direcționau ținte către domenii controlate de atacatori. Dacă ținta a făcut clic pe link-ul de pe un dispozitiv iOS, site-ul infectat ar iniția atacul prin ziua zero.
„acest exploit ar dezactiva protecția Politicii de aceeași origine pentru a colecta cookie-uri de autentificare de pe mai multe site-uri web populare, inclusiv Google, Microsoft, LinkedIn, Facebook și Yahoo și le-ar trimite prin WebSocket către un IP controlat de atacator”, au spus cercetătorii Google TAG. „Victima ar trebui să aibă o sesiune deschisă pe aceste site-uri de la Safari pentru ca cookie-urile să fie exfiltrate cu succes.”
cercetătorii Google au declarat că atacatorii fac parte probabil dintr-un actor susținut de guvernul rus care a abuzat de această zi zero pentru a viza dispozitivele iOS care rulează versiuni mai vechi de iOS (12,4 până la 13,7). Echipa de securitate Google a raportat Ziua zero către Apple, care a emis un patch pe 26 martie printr-o actualizare iOS.
cele două vulnerabilități Chrome au fost renderer executarea codului la distanță zero-days și se crede că au fost utilizate de același actor. Ambele zile zero vizau cele mai recente versiuni de Chrome pe Windows și au fost livrate ca linkuri unice trimise prin e-mail către ținte. Când o țintă a făcut clic pe link, acestea au fost trimise către domenii controlate de atacatori și dispozitivul lor a fost amprentat pentru informații pe care atacatorii le-au folosit pentru a determina dacă să livreze sau nu exploatarea. Google a spus că toate țintele au fost în Armenia.
cu vulnerabilitatea Internet Explorer, Google a declarat că cercetătorii săi au descoperit o campanie care vizează utilizatorii armeni cu documente Office rău intenționate care încărcau conținut web în browser.
„pe baza analizei noastre, evaluăm că exploatările Chrome și Internet Explorer descrise aici au fost dezvoltate și vândute de același furnizor care oferă capabilități de supraveghere clienților din întreaga lume”, a spus Google.
Google a publicat, de asemenea, analiza cauzelor rădăcină pentru toate cele patru zile zero:
- CVE-2021-1879: utilizare-După-Free în QuickTimePluginReplacement
- CVE-2021-21166: problema ciclului de viață al obiectului Chrome În Audio
- CVE-2021-30551: confuzie de tip Chrome în V8
- CVE-2021-33742: Internet Explorer în afara limitelor scrie în mshtml