Il gruppo di analisi delle minacce di Google (ETICHETTA) recentemente scoperto che l'anno scorso sono state condotte due campagne separate per sfruttare un certo numero di zero-day e vulnerabilità n-day su dispositivi Android e iOS.
Cos'è una vulnerabilità n-day? Un exploit di N-giorni è una vulnerabilità che è già stata sfruttata e dispone di una patch per risolverla. Questo è diverso da un exploit zero-day, che è una vulnerabilità che è stata scoperta di recente e deve ancora essere corretta dal fornitore.
queste campagne, effettuato da fornitori commerciali di spyware, erano limitati e altamente mirati, sfruttando il tempo che intercorre tra il rilascio di una correzione e il momento in cui è stata implementata sui dispositivi di destinazione. Tuttavia, l'entità e le specifiche di queste campagne sono ancora sconosciute.
Fornitori di spyware e sfruttamento zero-day
TAG ha monitorato le persone impegnate in operazioni di informazione, attacchi sostenuti dal governo, e abusi guidati finanziariamente per anni. Recentemente, TAG ha tenuto d'occhio più di 30 fornitori commerciali di spyware con vari livelli di competenza e visibilità, che vendono capacità di sfruttamento e sorveglianza a entità sostenute dal governo.
Tali fornitori stanno rendendo più facile per le entità governative ottenere strumenti di hacking che altrimenti non sarebbero in grado di sviluppare da soli. Anche se l'utilizzo della tecnologia di sorveglianza può essere consentito da determinate leggi, questi strumenti vengono regolarmente utilizzati dai governi per prendere di mira i dissidenti, giornalisti, attivisti per i diritti umani, e personaggi politici dell'opposizione, Clement Lecigne di TAG ha scritto in un post sul blog.
A novembre 2022, TAG ha scoperto catene di attacchi con 0 giorni che interessavano dispositivi Android e iOS, che sono stati inviati agli utenti in Italia, Malaysia, e Kazakistan tramite collegamenti bit.ly inviati tramite SMS. quando si fa clic, questi collegamenti porterebbero i visitatori a pagine contenenti exploit progettati specificamente per Android o iOS, prima di reindirizzarli a siti Web legittimi come la pagina per tracciare le spedizioni per BRT, una società di spedizioni e logistica con sede in Italia, o un noto sito di notizie malese.
La catena di exploit iOS
La catena di exploit iOS è stata impostata su versioni del sistema operativo precedenti a 15.1 e includeva CVE-2022-42856, una vulnerabilità di esecuzione di codice remoto WebKit zero-day dovuta a un problema di confusione del tipo all'interno del compilatore JIT. L'exploit utilizzava la tecnica di bypass PAC DYLD_INTERPOSE, che è stato riparato da Apple a marzo 2022. La stessa tecnica è stata utilizzata negli exploit di Cytrox, come notato nel post sul blog di Citizenlab su Predator. Entrambi gli exploit presentavano il “make_bogus_transform” funzionano come parte del bypass PAC.
Un altro zero-day sfruttato è CVE-2021-30900, un bug di fuga dalla sandbox e di escalation dei privilegi in AGXAccelerator, che è stato risolto da Apple nel 15.1 aggiornare. Questo bug era stato precedentemente documentato in un exploit per oob_timestamp rilasciato su Github in 2020.
La catena di exploit Android
La catena di exploit Android prendeva di mira gli utenti con GPU ARM che eseguivano versioni di Chrome in precedenza 106. La catena è composta da tre exploit, compreso uno zero-day: CVE-2022-3723, una vulnerabilità legata alla confusione di tipo rilevata da Avast in the wild, e fissato in ottobre 2022 come parte della versione 107.0.5304.87. CVE-2022-4135 è un bypass sandbox della GPU di Chrome che ha interessato solo Android, che è stato classificato come zero-day al momento dello sfruttamento ed è stato corretto a novembre 2022. È stato utilizzato anche CVE-2022-38181, un bug di escalation dei privilegi corretto da ARM ad agosto 2022. Non è ancora noto se gli aggressori avessero un exploit per questa vulnerabilità prima che fosse segnalata ad ARM.
È interessante notare che gli utenti sono stati reindirizzati a Chrome utilizzando Intent Redirection se provenivano dal browser Internet Samsung. Questo è l'opposto di ciò che abbiamo visto fare dagli aggressori in passato, come nel caso di CVE-2022-2856, dove gli utenti sono stati reindirizzati da Chrome al browser Internet Samsung. Il payload di questa catena di exploit non era disponibile.
Quando ARM ha rilasciato una correzione per CVE-2022-38181, molti fornitori non sono riusciti a incorporare immediatamente la patch, consentendo lo sfruttamento dei bug. Ciò è stato recentemente sottolineato dai post sul blog di Project Zero e Github Security Lab.
È importante notare che i dispositivi Pixel con l'estensione 2023-01-05 aggiornamento della sicurezza e utenti di Chrome aggiornati alla versione 108.0.5359 sono protetti da entrambe le catene di exploit, ETICHETTA noto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: