0
0
Os pesquisadores de segurança do Google detalharam as vulnerabilidades de dia zero e dia n exploradas no que eles descreveram como duas campanhas diferentes altamente direcionadas. Para muitos dos dias zero, nenhuma informação estava disponível até agora sobre os ataques que os exploram.
A gigante da internet tem rastreado mais de 30 fornecedores de spyware que fornecem exploits e soluções de vigilância para governos. Embora as próprias tecnologias de vigilância possam não ser ilegais – elas são normalmente anunciadas como soluções projetadas para inteligência oficial e operações de aplicação da lei – o problema é que elas são frequentemente usadas pelos governos para atingir a oposição, jornalistas e dissidentes.
Em uma das duas campanhas descritas pelo Google na quarta-feira, um ataque começou com um link enviado ao usuário-alvo via SMS. Quando clicado, o link levava a vítima a sites maliciosos que entregavam exploits para Android ou iOS – dependendo do dispositivo do alvo. Depois que os exploits foram entregues, as vítimas foram redirecionadas para sites legítimos, provavelmente em um esforço para evitar levantar suspeitas.
A cadeia de exploração do iOS envolveu CVE-2022-42856, uma vulnerabilidade do WebKit que a Apple corrigiu em iPhones em dezembro de 2022 com uma atualização do iOS. Os ataques também envolveram uma técnica de desvio de Autenticação de Ponteiro (PAC) e uma exploração para CVE-2021-30900, uma fuga de sandbox e vulnerabilidade de escalonamento de privilégios que a Apple corrigiu no iOS em 2021.
A cadeia de exploração do Android visava o CVE-2022-3723 , um dia zero do Chrome corrigido pelo Google em outubro de 2022.
Ele também visou CVE-2022-4135 , uma falha do Chrome que o Google corrigiu em novembro de 2022 – foi o oitavo dia zero do Chrome em 2022. Este é um desvio de sandbox da GPU do Chrome que afeta apenas os dispositivos Android.
A cadeia do Android também incluiu a exploração de CVE-2022-38181 , uma vulnerabilidade da GPU Arm Mali que leva à execução arbitrária de código do kernel e raiz em telefones Pixel 6. Um patch foi lançado pela Arm em agosto de 2022, mas só foi lançado para dispositivos Pixel em janeiro de 2023.
“Quando a Arm lançou uma correção para CVE-2022-38181, vários fornecedores, incluindo Pixel, Samsung, Xiaomi, Oppo e outros, não incorporaram o patch, resultando em uma situação em que os invasores puderam explorar livremente o bug por vários meses, ” disse o Google, observando que não está claro se os invasores estavam explorando a falha antes de ser divulgada de forma responsável a Arm.
Esta campanha segmentou usuários na Itália, Malásia e Cazaquistão.
O Google informou no ano passado que os smartphones Apple e Android na Itália e no Cazaquistão foram alvo de spyware fabricado pela empresa italiana RCS Lab . No entanto, o Google observou em sua nova postagem no blog que uma das técnicas usadas contra dispositivos iOS também foi aproveitada pelo spyware Predator , fabricado pelo fornecedor de spyware da Macedônia do Norte Cytrox.
Na segunda campanha, descoberta em dezembro de 2022, os invasores visaram o Samsung Internet Browser encadeando várias vulnerabilidades de dia zero e dia n.
Também nesta campanha, os exploits foram entregues como links enviados por SMS. Os ataques foram direcionados a usuários nos Emirados Árabes Unidos e o objetivo era a entrega de spyware Android completo.
O Google acredita que o ataque foi realizado por um cliente ou parceiro da Variston , um fornecedor espanhol de spyware comercial cujas estruturas de exploração foram descritas pela gigante da Internet no ano passado.
Os invasores exploraram várias vulnerabilidades do Chrome. O navegador Samsung é baseado no Chromium, o que significa que é afetado pelas mesmas falhas do Chrome. No entanto, o navegador Samsung não inclui algumas mitigações que dificultariam a exploração.
A lista de exploits incluía CVE-2022-4262 , um dia zero do Chrome corrigido pelo Google em dezembro de 2022, e CVE-2022-3038, uma fuga de sandbox do Chrome.
A campanha também teve como alvo o CVE-2022-22706, um problema de driver do kernel da GPU do Mali corrigido pela Arm em janeiro de 2022, e o CVE-2023-0266, uma falha no subsistema de som do kernel do Linux que dá ao invasor acesso de leitura e gravação. Ambas as vulnerabilidades foram exploradas em estado selvagem contra dispositivos Android antes do lançamento de patches.
O Google disponibilizou indicadores de comprometimento (IoCs) que podem ser usados para detectar esses ataques.
FONTE: SECURITYWEEK