0-day ευπάθεια χρησιμοποιείται για τη μόλυνση των χρηστών του Chrome
Ένας πωλητής λογισμικού κυβερνοεπιθέσεων εκμεταλλεύτηκε πρόσφατα μια προηγουμένως άγνωστη ευπάθεια του Chrome και δύο άλλες 0-day exploits σε καμπάνιες που μόλυναν κρυφά υπολογιστές δημοσιογράφων και άλλους στόχους με εξελιγμένο λογισμικό κατασκοπείας, δήλωσαν ερευνητές ασφαλείας.
Το CVE-2022-2294, καθώς παρακολουθείται η ευπάθεια αυτή, προέρχεται από memory corruption ελαττώματα στο Web Real-Time Communications, ένα έργο ανοιχτού κώδικα που παρέχει διεπαφές προγραμματισμού JavaScript για την ενεργοποίηση δυνατοτήτων επικοινωνίας φωνής, κειμένου και βίντεο σε πραγματικό χρόνο μεταξύ προγραμμάτων περιήγησης ιστού και συσκευές. Η Google διόρθωσε το ελάττωμα στις 4 Ιουλίου, αφού ερευνητές από την εταιρεία ασφαλείας Avast ειδοποίησαν την εταιρεία ότι χρησιμοποιούταν σε επιθέσεις, οι οποίες μολύνουν στοχευμένους ιστότοπους με κακόβουλο λογισμικό με την ελπίδα να μολύνουν τους συχνούς χρήστες τους. Η Microsoft και η Apple έκτοτε επιδιόρθωσαν το ίδιο ελάττωμα WebRTC στα προγράμματα περιήγησης Edge και Safari, αντίστοιχα.
Η Avast είπε την Πέμπτη ότι αποκάλυψε πολλαπλές επιθέσεις, η καθεμία παρέχοντας την εκμετάλλευση με τον δικό της τρόπο σε χρήστες του Chrome στον Λίβανο, την Τουρκία, την Υεμένη και την Παλαιστίνη. Οι τοποθεσίες ήταν εξαιρετικά επιλεκτικές στην επιλογή των επισκεπτών που θα μολύνουν. Μόλις οι ιστότοποι εκμεταλλεύτηκαν επιτυχώς την ευπάθεια, χρησιμοποίησαν την πρόσβασή τους για να εγκαταστήσουν το DevilsTongue, το όνομα που έδωσε η Microsoft πέρυσι σε προηγμένο κακόβουλο λογισμικό που πωλήθηκε από μια εταιρεία με έδρα το Ισραήλ με το όνομα Candiru.
«Στον Λίβανο, οι επιτιθέμενοι φαίνεται να έχουν παραβιάσει έναν ιστότοπο που χρησιμοποιείται από υπαλλήλους ενός πρακτορείου ειδήσεων», έγραψε ο ερευνητής της Avast, Jan Vojtěšek. «Δεν μπορούμε να πούμε με βεβαιότητα τι θα μπορούσαν να αναζητούσαν οι επιτιθέμενοι, ωστόσο συχνά ο λόγος για τον οποίο οι επιτιθέμενοι κυνηγούν δημοσιογράφους είναι για να κατασκοπεύσουν αυτούς και τις ιστορίες στις οποίες εργάζονται απευθείας ή για να φτάσουν στις πηγές τους και να συλλέξουν πληροφορίες και ευαίσθητα δεδομένα που μοιράστηκαν με τον Τύπο».
Ο Vojtěšek είπε ότι ο Candiru βρισκόταν σε χαμηλά επίπεδα μετά από εκθέσεις που δημοσιεύθηκαν τον περασμένο Ιούλιο από τη Microsoft και το CitizenLab. Η εταιρεία επανεμφανίστηκε τον Μάρτιο με ένα ενημερωμένο σύνολο εργαλείων. Η τοποθεσία, την οποία η Avast δεν προσδιόρισε, έκανε όχι μόνο επιλογή των επισκεπτών που θα μολυνθούν, αλλά και στην αποτροπή της ανακάλυψης των πολύτιμων τρωτών σημείων zero-day από ερευνητές ή πιθανούς ανταγωνιστές χάκερ.
Η Avast έχει αναφέρει το ελάττωμα στον κατασκευαστή του προγράμματος οδήγησης, αλλά δεν υπάρχει καμία ένδειξη ότι έχει κυκλοφορήσει μια ενημέρωση κώδικα. Από τη στιγμή της δημοσίευσης, μόνο το Avast και ένας άλλος μηχανισμός προστασίας από ιούς εντόπισαν την εκμετάλλευση του προγράμματος οδήγησης.
Παρά τις προσπάθειες να κρατηθεί μυστικό το CVE-2022-2294, η Avast κατάφερε να ανακτήσει τον κώδικα επίθεσης, ο οποίος εκμεταλλεύτηκε ένα heap overflow στο WebRTC για να εκτελέσει κακόβουλο κώδικα. Η ανάκτηση επέτρεψε στην Avast να εντοπίσει την ευπάθεια και να την αναφέρει στους προγραμματιστές, ώστε να μπορέσει να διορθωθεί. Η εταιρεία ασφαλείας δεν μπόρεσε να αποκτήσει μια ξεχωριστή 0-day exploit που απαιτούνταν, ώστε η πρώτη 0-day να μπορεί να ξεφύγει από το sandbox ασφαλείας του Chrome. Αυτό σημαίνει ότι αυτή η δεύτερη 0-day κυκλοφορεί ακόμα "ελευθερη" στο διαδίκτυο.
Μόλις εγκατασταθεί το DevilsTongue, προσπάθησε να αυξήσει τα προνόμια του συστήματός του εγκαθιστώντας ένα πρόγραμμα οδήγησης των Windows που περιείχε μια ακόμη μη επιδιορθωμένη ευπάθεια, ανεβάζοντας τον αριθμό των 0-day exploit που χρησιμοποιήθηκαν σε αυτήν την επίθεση σε τουλάχιστον τρεις. Μόλις εγκατασταθεί το μη αναγνωρισμένο πρόγραμμα οδήγησης, το DevilsTongue θα εκμεταλλευόταν το ελάττωμα ασφαλείας για να αποκτήσει πρόσβαση στον πυρήνα, το πιο ευαίσθητο μέρος οποιουδήποτε λειτουργικού συστήματος. Οι ερευνητές ασφαλείας αποκαλούν την τεχνική BYOVD, συντομογραφία του «Bring Your Own Vulnerable Driver». Επιτρέπει στο κακόβουλο λογισμικό να νικήσει τις άμυνες του λειτουργικού συστήματος, καθώς τα περισσότερα προγράμματα οδήγησης έχουν αυτόματα πρόσβαση σε έναν πυρήνα του λειτουργικού συστήματος.
Δεδομένου ότι τόσο η Google όσο και η Microsoft επιδιορθώνουν το CVE-2022-2294 στις αρχές Ιουλίου, οι πιθανότητες είναι καλές οι περισσότεροι χρήστες του Chrome και του Edge να είναι ήδη προστατευμένοι. Η Apple, ωστόσο, διόρθωσε την ευπάθεια την Τετάρτη, πράγμα που σημαίνει ότι οι χρήστες του Safari θα πρέπει να βεβαιωθούν ότι τα προγράμματα περιήγησής τους είναι ενημερωμένα.
Πηγή
Δεν υπάρχουν σχόλια