Grupo de análise de ameaças do Google (TAG) recentemente descobriu que duas campanhas separadas foram realizadas no ano passado, a fim de explorar uma série de zero-day e vulnerabilidades de n dias em dispositivos Android e iOS.
O que é uma vulnerabilidade de n dias? Uma exploração de dia N é uma vulnerabilidade que já foi explorada e tem um patch disponível para corrigi-la. Isso é diferente de uma exploração de dia zero, que é uma vulnerabilidade que foi descoberta recentemente e ainda não foi corrigida pelo fornecedor.
estas campanhas, executado por fornecedores de spyware comercial, foram limitados e altamente direcionados, aproveitando o tempo entre o lançamento de uma correção e a implementação nos dispositivos de destino. Contudo, a magnitude e as especificidades dessas campanhas ainda são desconhecidas.
Fornecedores de spyware e exploração de dia zero
A TAG tem monitorado pessoas envolvidas em operações de informação, ataques apoiados pelo governo, e abuso motivado financeiramente por anos. Recentemente, A TAG está de olho em mais de 30 fornecedores de spyware comercial de vários níveis de proficiência e visibilidade, que estão vendendo habilidades de exploração e vigilância para entidades apoiadas pelo governo.
Esses fornecedores estão tornando mais fácil para as entidades governamentais obterem ferramentas de hacking que, de outra forma, não seriam capazes de desenvolver por conta própria.. Mesmo que a utilização de tecnologia de vigilância possa ser permitida sob certas leis, essas ferramentas são usadas regularmente por governos para atingir dissidentes, jornalistas, ativistas de direitos humanos, e figuras políticas da oposição, Clement Lecigne, da TAG, escreveu em uma postagem no blog.
Em novembro 2022, TAG descobriu cadeias de ataque com 0 dias que afetaram dispositivos Android e iOS, que foram enviados para usuários na Itália, Malásia, e Cazaquistão via links bit.ly enviados por SMS. quando clicado, esses links levariam os visitantes a páginas contendo explorações projetadas especificamente para Android ou iOS, antes de redirecioná-los para sites legítimos, como a página de rastreamento de cargas para BRT, uma empresa italiana de transporte e logística, ou um conhecido site de notícias da Malásia.
A cadeia de exploração do iOS
A cadeia de exploração do iOS foi definida em versões do sistema operacional anteriores a 15.1 e incluiu CVE-2022-42856, uma vulnerabilidade de execução remota de código do WebKit de dia zero devido a um problema de confusão de tipos no compilador JIT. A exploração usou a técnica de bypass DYLD_INTERPOSE PAC, que foi corrigido pela Apple em março 2022. A mesma técnica foi usada nos exploits da Cytrox, conforme observado na postagem do blog da Citizenlab sobre o Predator. Ambos os exploits apresentavam o “make_bogus_transform” funcionar como parte do desvio do PAC.
Outro dia zero explorado é o CVE-2021-30900, um bug de fuga de sandbox e escalonamento de privilégios no AGXAccelerator, que foi corrigido pela Apple no 15.1 atualizar. Este bug foi documentado anteriormente em um exploit para oob_timestamp lançado no Github em 2020.
A cadeia de exploração do Android
A cadeia de explorações do Android visava usuários com GPUs ARM executando versões do Chrome antes 106. A cadeia é composta por três exploits, incluindo um dia zero: CVE-2022-3723, uma vulnerabilidade de confusão de tipo detectada pelo Avast em estado selvagem, e corrigido em outubro 2022 como parte da versão 107.0.5304.87. CVE-2022-4135 é um desvio de sandbox da GPU do Chrome que afetou apenas o Android, que foi classificado como dia zero no momento da exploração e foi corrigido em novembro 2022. CVE-2022-38181 também foi usado, um bug de escalonamento de privilégios corrigido pela ARM em agosto 2022. Ainda não se sabe se os invasores exploraram essa vulnerabilidade antes de ela ser relatada ao ARM.
Vale ressaltar que os usuários foram redirecionados para o Chrome usando o Redirecionamento de intenção se eles vierem do Samsung Internet Browser. Isso é o oposto do que vimos os invasores fazerem no passado, como no caso do CVE-2022-2856, onde os usuários foram redirecionados do Chrome para o Samsung Internet Browser. A carga útil desta cadeia de exploração não estava disponível.
Quando o ARM lançou uma correção para CVE-2022-38181, muitos fornecedores falharam em incorporar imediatamente o patch, permitindo que os bugs sejam explorados. Isso foi apontado recentemente por postagens de blog do Project Zero e do Github Security Lab.
É importante observar que os dispositivos Pixel com o 2023-01-05 atualização de segurança e usuários do Chrome atualizados para a versão 108.0.5359 estão protegidos de ambas as cadeias de exploração, TAG notado.