Le groupe d'analyse des menaces de Google (ÉTIQUETTE) a récemment révélé que deux campagnes distinctes avaient été menées l'année dernière afin d'exploiter un certain nombre de zero-day et vulnérabilités n-day sur les appareils Android et iOS.
Qu'est-ce qu'une vulnérabilité n-day? Un exploit N-day est une vulnérabilité qui a déjà été exploitée et qui dispose d'un correctif pour la corriger. Ceci est différent d'un exploit zero-day, qui est une vulnérabilité qui vient d'être découverte et qui n'a pas encore été corrigée par le fournisseur.
Ces campagnes, effectués par des éditeurs de logiciels espions commerciaux, étaient limités et très ciblés, tirer parti du temps écoulé entre le moment où un correctif a été publié et celui où il a été implémenté sur les appareils ciblés. Cependant, l'ampleur et les spécificités de ces campagnes sont encore inconnues.
Fournisseurs de logiciels espions et exploitation Zero-Day
TAG surveille les personnes engagées dans des opérations d'information, attaques soutenues par le gouvernement, et des abus motivés par l'argent pendant des années. Récemment, TAG a surveillé de près plus de 30 fournisseurs de logiciels espions commerciaux de différents niveaux de compétence et de visibilité, qui vendent des capacités d'exploitation et de surveillance à des entités soutenues par le gouvernement.
Ces fournisseurs permettent aux entités gouvernementales d'obtenir plus facilement des outils de piratage qu'elles ne pourraient autrement pas développer elles-mêmes.. Même si l'utilisation de la technologie de surveillance peut être autorisée en vertu de certaines lois, ces outils sont régulièrement utilisés par les gouvernements pour cibler les dissidents, journalistes, militants des droits de l'homme, et personnalités politiques de l'opposition, Clément Lecigne de TAG a écrit dans un article de blog.
En novembre 2022, TAG a découvert des chaînes d'attaque avec des jours 0 qui ont affecté les appareils Android et iOS, qui ont été envoyés aux utilisateurs en Italie, Malaisie, et le Kazakhstan via des liens bit.ly envoyés par SMS. lorsque vous cliquez dessus, ces liens conduiraient les visiteurs vers des pages contenant des exploits spécifiquement conçus pour Android ou iOS, avant de les rediriger vers des sites Web légitimes tels que la page de suivi des envois pour BRT, une entreprise italienne d'expédition et de logistique, ou un site d'information malaisien bien connu.
La chaîne d'exploitation iOS
La chaîne d'exploitation iOS a été définie sur les versions de système d'exploitation antérieures à 15.1 et inclus CVE-2022-42856, une vulnérabilité d'exécution de code à distance WebKit zero-day en raison d'un problème de confusion de type dans le compilateur JIT. L'exploit a utilisé la technique de contournement DYLD_INTERPOSE PAC, qui a été corrigé par Apple en mars 2022. La même technique a été utilisée dans les exploits de Cytrox, comme indiqué dans le blog de Citizenlab sur Predator. Les deux exploits présentaient le “make_bogus_transform” fonctionner dans le cadre du bypass PAC.
Un autre zero-day exploité est CVE-2021-30900, un bogue d'échappement de bac à sable et d'escalade de privilèges dans AGXAccelerator, qui a été corrigé par Apple dans le 15.1 mettre à jour. Ce bogue avait déjà été documenté dans un exploit pour oob_timestamp publié sur Github en 2020.
La chaîne d'exploitation Android
La chaîne d'exploits Android ciblait les utilisateurs avec des GPU ARM exécutant des versions de Chrome avant 106. La chaîne est composée de trois exploits, dont un zero-day: CVE-2022-3723, une vulnérabilité de confusion de type détectée par Avast dans la nature, et fixé en octobre 2022 dans le cadre de la version 107.0.5304.87. CVE-2022-4135 est un contournement du bac à sable du GPU Chrome qui n'affectait qu'Android, qui a été classé comme un jour zéro au moment de l'exploitation et a été corrigé en novembre 2022. CVE-2022-38181 a également été utilisé, un bogue d'escalade de privilèges corrigé par ARM en août 2022. On ne sait toujours pas si les attaquants avaient un exploit pour cette vulnérabilité avant qu'elle ne soit signalée à ARM.
Il est à noter que les utilisateurs ont été redirigés vers Chrome à l'aide de la redirection d'intention s'ils venaient du navigateur Internet Samsung.. C'est le contraire de ce que nous avons vu des attaquants faire dans le passé, comme dans le cas de CVE-2022-2856, où les utilisateurs ont été redirigés de Chrome vers le navigateur Internet Samsung. La charge utile de cette chaîne d'exploitation n'était pas disponible.
Quand ARM a publié un correctif pour CVE-2022-38181, de nombreux fournisseurs n'ont pas immédiatement intégré le correctif, permettant d'exploiter les bogues. Cela a été récemment souligné par des articles de blog de Project Zero et Github Security Lab.
Il est important de noter que les appareils Pixel avec le 2023-01-05 mise à jour de sécurité et utilisateurs de Chrome mis à jour vers la version 108.0.5359 sont protégés des deux chaînes d'exploitation, ÉTIQUETTE c'est noté.