Spywareleveranciers maken gebruik van Zero-Days in iOS en Android

De Google Threat Analysis Group (LABEL) kwam onlangs aan het licht dat er vorig jaar twee afzonderlijke campagnes zijn gevoerd om er een aantal uit te buiten zero-day en n-day kwetsbaarheden op Android- en iOS-apparaten.

Wat is een n-day kwetsbaarheid? Een N-day exploit is een kwetsbaarheid die al is uitgebuit en waarvoor een patch beschikbaar is om deze te repareren. Dit is anders dan een zero-day exploit, Dit is een kwetsbaarheid die onlangs is ontdekt en nog moet worden gepatcht door de leverancier.

deze campagnes, uitgevoerd door commerciële spywareleveranciers, waren beperkt en zeer gericht, profiteren van de tijd tussen het moment waarop een fix werd uitgebracht en het moment waarop deze op de beoogde apparaten werd geïmplementeerd. Echter, de omvang en bijzonderheden van deze campagnes is nog onbekend.

Spywareleveranciers en zero-day-exploitatie

TAG houdt personen in de gaten die betrokken zijn bij informatieoperaties, door de regering gesteunde aanvallen, en jarenlang financieel gedreven misbruik. Onlangs, TAG houdt meer dan nauwlettend in de gaten 30 commerciële spywareverkopers van verschillende niveaus van bekwaamheid en zichtbaarheid, die exploit- en bewakingscapaciteiten verkopen aan door de overheid gesteunde entiteiten.

Dergelijke leveranciers maken het voor overheidsinstanties gemakkelijker om hacktools te verkrijgen die ze anders niet zelf zouden kunnen ontwikkelen. Ook al is het gebruik van bewakingstechnologie volgens bepaalde wetten toegestaan, deze instrumenten worden regelmatig door regeringen gebruikt om dissidenten aan te vallen, journalisten, mensenrechtenactivisten, en politici van de oppositie, Clement Lecigne van TAG schreef in een blogpost.

In november 2022, TAG ontdekte aanvalsketens met 0-dagen die Android- en iOS-apparaten troffen, die werden verzonden naar gebruikers in Italië, Maleisië, en Kazachstan via bit.ly-links verzonden via sms. wanneer erop wordt geklikt, deze links leiden bezoekers naar pagina's met exploits die speciaal zijn ontworpen voor Android of iOS, voordat ze worden omgeleid naar legitieme websites, zoals de pagina om zendingen voor BRT te volgen, een in Italië gevestigd verzend- en logistiek bedrijf, of een bekende Maleisische nieuwswebsite.

De iOS-exploitketen

De iOS-exploitketen was voorafgaand aan OS-versies ingesteld 15.1 en inclusief CVE-2022-42856, een zero-day WebKit-beveiligingslek voor het uitvoeren van externe code als gevolg van een typeverwarringsprobleem binnen de JIT-compiler. De exploit maakte gebruik van de DYLD_INTERPOSE PAC-bypass-techniek, die in maart door Apple is opgelost 2022. Dezelfde techniek werd gebruikt in de heldendaden van Cytrox, zoals opgemerkt in de blogpost van Citizenlab over Predator. Beide exploits kenmerkten de “make_bogus_transform” functioneren als onderdeel van de PAC-bypass.

Een andere uitgebuite zero-day is CVE-2021-30900, een sandbox-escape- en privilege-escalatie-bug in AGXAccelerator, die werd opgelost door Apple in de 15.1 bijwerken. Deze bug was eerder gedocumenteerd in een exploit voor oob_timestamp uitgebracht op Github in 2020.

De Android-exploitketen

De keten van Android-exploits was gericht op gebruikers met ARM GPU's die voorheen Chrome-versies draaiden 106. De keten bestaat uit drie exploits, inclusief één zero-day: CVE-2022-3723, een kwetsbaarheid voor typeverwarring die door Avast in het wild is ontdekt, en vast in oktober 2022 als onderdeel van versie 107.0.5304.87. CVE-2022-4135 is een Chrome GPU-sandbox-bypass die alleen van invloed was op Android, die op het moment van uitbuiting was geclassificeerd als een zero-day en in november werd gepatcht 2022. CVE-2022-38181 werd ook gebruikt, een bug voor privilege-escalatie die in augustus door ARM is gepatcht 2022. Het is nog onbekend of aanvallers een exploit voor dit beveiligingslek hadden voordat het aan ARM werd gemeld.

Het is opmerkelijk dat gebruikers werden omgeleid naar Chrome met behulp van Intent Redirection als ze afkomstig waren van de Samsung-internetbrowser. Dit is het tegenovergestelde van wat we aanvallers in het verleden hebben zien doen, zoals in het geval van CVE-2022-2856, waar gebruikers werden omgeleid van Chrome naar de Samsung-internetbrowser. De payload van deze exploitketen was niet beschikbaar.

Toen ARM een oplossing uitbracht voor CVE-2022-38181, veel leveranciers hebben de patch niet onmiddellijk opgenomen, waardoor de bugs kunnen worden misbruikt. Dit werd onlangs opgemerkt door blogposts van Project Zero en Github Security Lab.
Het is belangrijk op te merken dat Pixel-apparaten met de 2023-01-05 beveiligingsupdate en Chrome-gebruikers bijgewerkt naar versie 108.0.5359 worden beschermd tegen beide exploitketens, LABEL bekend.