Google har släppt nya Detaljer om fyra zero-day säkerhetsproblem som utnyttjades i naturen tidigare i år. Upptäckt av Googles Threat Analysis Group (TAG) och Project Zero-forskare användes de fyra nolldagarna som en del av tre Riktade malware-kampanjer som utnyttjade tidigare okända brister i Google Chrome, Internet Explorer och WebKit, webbläsarmotorn som används av Apples Safari.
Googles forskare noterade också att 2021 har varit ett särskilt aktivt år för nolldagsattacker i naturen. Hittills i år har 33 nolldagsutnyttjande som används i attacker offentliggjorts-11 mer än det totala antalet från 2020.
Google tillskriver en del av uppgången i nolldagar till större upptäckts-och upplysningsinsatser, men sade att ökningen också beror på spridningen av kommersiella leverantörer som säljer tillgång till nolldagars sårbarheter jämfört med början av 2010-talet.
”0-dagars kapacitet brukade bara vara verktygen för utvalda nationalstater som hade teknisk expertis för att hitta 0-dagars sårbarheter, utveckla dem till exploater och sedan strategiskt operationalisera deras användning”, sa Google i ett blogginlägg. ”I mitten till slutet av 2010-talet har fler privata företag gått med på marknaden som säljer dessa 0-dagars kapacitet. Inte längre behöver grupper ha den tekniska expertisen, nu behöver de bara resurser. Tre av de fyra 0-dagarna som TAG har upptäckt 2021 faller i denna kategori: utvecklad av kommersiella leverantörer och säljs till och används av statligt stödda aktörer.”
när det gäller nolldagarna som upptäckts av Google inkluderar exploaterna CVE-2021-1879 i Safari, CVE-2021-21166 och CVE-2021-30551 i Chrome och CVE-2021-33742 i Internet Explorer.
med Safari zero-day-kampanjen använde hackare LinkedIn-meddelanden för att rikta sig mot regeringstjänstemän från västeuropeiska länder och skickade skadliga länkar som riktade mål till angripare kontrollerade domäner. Om målet klickade på länken från en iOS-enhet skulle den infekterade webbplatsen initiera attacken via nolldagen.
” detta utnyttjande skulle stänga av samma Ursprungsskydd för att samla in autentiseringscookies från flera populära webbplatser, inklusive Google, Microsoft, LinkedIn, Facebook och Yahoo och skicka dem via WebSocket till en angripare-kontrollerad IP, säger Google TAG-forskare. ”Offret skulle behöva ha en session öppen på dessa webbplatser från Safari för att cookies ska kunna exfiltreras.”
Google-forskare sa att angriparna troligen var en del av en rysk regeringsstödda skådespelare som missbrukade denna nolldag för att rikta in sig på iOS-enheter som kör äldre versioner av iOS (12.4 till 13.7). Googles säkerhetsteam rapporterade nolldagen till Apple, som utfärdade en patch den 26 mars genom en iOS-uppdatering.
de två Chrome-sårbarheterna var renderare remote code execution zero-days och tros ha använts av samma skådespelare. Båda nolldagarna riktade sig mot de senaste versionerna av Chrome på Windows och levererades som engångslänkar skickade via e-post till målen. När ett mål klickade på länken skickades de till angriparestyrda domäner och deras enhet fingeravtrycktes för information som angriparna använde för att avgöra om de skulle leverera utnyttjandet eller inte. Google sa att alla mål var i Armenien.
med Internet Explorer-sårbarheten sa Google att dess forskare upptäckte en kampanj riktad mot armeniska användare med skadliga Office-dokument som laddade webbinnehåll i webbläsaren.
”baserat på vår analys bedömer vi att Chrome-och Internet Explorer-utnyttjandet som beskrivs här utvecklades och såldes av samma leverantör som tillhandahåller övervakningsfunktioner till kunder runt om i världen”, sa Google.
Google publicerade också grundorsaksanalys för alla fyra nolldagarna:
- CVE-2021-1879: användning-efter-Fri i QuickTimePluginReplacement
- CVE-2021-21166: problem med Chrome-objektets livscykel i ljud
- CVE-2021-30551: förvirring av Chrome-typ I V8
- CVE-2021-33742: Internet Explorer utanför gränserna skriv i mshtml