El grupo de análisis de amenazas de Google (ETIQUETA) descubrió recientemente que el año pasado se llevaron a cabo dos campañas separadas para explotar una serie de Día cero y vulnerabilidades de día n en dispositivos Android e iOS.
¿Qué es una vulnerabilidad de día n?? Un exploit de día N es una vulnerabilidad que ya ha sido explotada y tiene un parche disponible para solucionarlo.. Esto es diferente de un exploit de día cero, que es una vulnerabilidad que se ha descubierto recientemente y aún no ha sido reparada por el proveedor.
estas campañas, realizado por proveedores comerciales de spyware, eran limitados y muy específicos, aprovechar el tiempo entre el momento en que se lanzó una corrección y cuando se implementó en los dispositivos de destino. Sin embargo, la magnitud y los detalles de estas campañas aún se desconocen.
Proveedores de software espía y explotación de día cero
TAG ha estado monitoreando a personas involucradas en operaciones de información, ataques respaldados por el gobierno, y abuso impulsado financieramente durante años. Recientemente, TAG ha estado vigilando de cerca más de 30 proveedores comerciales de spyware de varios niveles de competencia y visibilidad, que están vendiendo habilidades de explotación y vigilancia a entidades respaldadas por el gobierno.
Dichos proveedores están facilitando que las entidades gubernamentales obtengan herramientas de piratería que, de otro modo, no podrían desarrollar por sí mismas.. Aunque la utilización de tecnología de vigilancia puede estar permitida bajo ciertas leyes, estas herramientas son utilizadas regularmente por los gobiernos para atacar a los disidentes, periodistas, activistas de derechos humanos, y figuras políticas de la oposición, Clement Lecigne de TAG escribió en una publicación de blog.
En noviembre 2022, TAG descubrió cadenas de ataque con 0 días que afectaron a dispositivos Android e iOS, que se enviaron a usuarios en Italia, Malasia, y Kazajstán a través de enlaces bit.ly enviados por SMS. cuando se hace clic, estos enlaces llevarían a los visitantes a páginas que contienen exploits diseñados específicamente para Android o iOS, antes de redirigirlos a sitios web legítimos como la página para rastrear envíos para BRT, una empresa de envío y logística con sede en Italia, o un conocido sitio web de noticias de Malasia.
La cadena de explotación de iOS
La cadena de explotación de iOS se configuró contra versiones del sistema operativo anteriores a 15.1 e incluido CVE-2022-42856, una vulnerabilidad de ejecución remota de código WebKit de día cero debido a un problema de confusión de tipos dentro del compilador JIT. El exploit utilizó la técnica de derivación DYLD_INTERPOSE PAC, que fue arreglado por Apple en marzo 2022. La misma técnica se utilizó en las hazañas de Cytrox., como se señaló en la publicación de blog de Citizenlab sobre Predator. Ambas hazañas presentaban la “hacer_bogus_transform” funcionan como parte del bypass PAC.
Otro día cero explotado es CVE-2021-30900, un escape de sandbox y un error de escalada de privilegios en AGXAccelerator, que fue corregido por Apple en el 15.1 actualizar. Este error se había documentado previamente en un exploit para oob_timestamp publicado en Github en 2020.
La cadena de explotación de Android
La cadena de exploits de Android estaba dirigida a usuarios con GPU ARM que ejecutaban versiones de Chrome antes 106. La cadena se compone de tres exploits., incluyendo un día cero: CVE-2022-3723, una vulnerabilidad de confusión de tipo detectada por Avast en la naturaleza, y fijado en octubre 2022 como parte de la versión 107.0.5304.87. CVE-2022-4135 es una omisión de sandbox de GPU de Chrome que solo afectó a Android, que se clasificó como de día cero en el momento de la explotación y se parchó en noviembre 2022. También se utilizó CVE-2022-38181, un error de escalada de privilegios parcheado por ARM en agosto 2022. Todavía se desconoce si los atacantes aprovecharon esta vulnerabilidad antes de que se informara a ARM..
Es de destacar que los usuarios fueron redirigidos a Chrome usando Redirección de intención si venían del navegador de Internet de Samsung.. Esto es lo contrario de lo que hemos visto hacer a los atacantes en el pasado., como en el caso de CVE-2022-2856, donde los usuarios fueron redirigidos desde Chrome al navegador de Internet de Samsung. La carga útil de esta cadena de explotación no estaba disponible.
Cuando ARM lanzó una solución para CVE-2022-38181, muchos proveedores no pudieron incorporar inmediatamente el parche, permitiendo que los errores sean explotados. Esto fue señalado recientemente por publicaciones de blog de Project Zero y Github Security Lab.
Es importante tener en cuenta que los dispositivos Pixel con el 2023-01-05 actualización de seguridad y usuarios de Chrome actualizados a la versión 108.0.5359 están protegidos de ambas cadenas de explotación, ETIQUETA célebre.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: