0 jour utilisé pour infecter les utilisateurs de Chrome peut également menacer les utilisateurs d’Edge et de Safari

Un fournisseur de logiciels de cyberattaques secrètes a récemment exploité une vulnérabilité jusque-là inconnue dans Chrome et deux autres « zero-days » dans des campagnes qui ont secrètement infecté des journalistes et d’autres cibles avec des logiciels espions sophistiqués, ont déclaré des chercheurs en sécurité.

CVE-2022-2294, alors que la vulnérabilité est suivie, découle de failles de corruption de la mémoire dans Web Real-Time Communications, un projet open source qui fournit des interfaces de programmation JavaScript pour permettre des capacités de communication vocale, textuelle et vidéo en temps réel entre les navigateurs Web. et appareils. Google a corrigé la faille le 4 juillet après que des chercheurs de la société de sécurité Avast ont informé en privé l’entreprise qu’elle était exploitée dans des attaques de point d’eau, qui infectent des sites Web ciblés avec des logiciels malveillants dans l’espoir d’infecter ensuite les utilisateurs fréquents. Microsoft et Apple ont depuis corrigé le même bogue WebRTC dans leurs navigateurs Edge et Safari.

Avast a déclaré jeudi avoir découvert plusieurs campagnes d’attaques, chacune livrant l’exploit à sa manière aux utilisateurs de Chrome au Liban, en Turquie, au Yémen et en Palestine. Les points d’eau étaient très sélectifs dans le choix des visiteurs qu’ils voulaient infecter. Après que les sites de point d’eau aient exploité avec succès la vulnérabilité, ils ont utilisé leur accès pour installer DevilsTongue, le nom que Microsoft a donné l’année dernière aux logiciels malveillants avancés vendus par une société basée en Israël appelée Candiru.

“Au Liban, les attaquants semblent avoir piraté un site Web utilisé par les employés d’une agence de presse”, a écrit Jan Vojtěšek, chercheur chez Avast. “Nous ne pouvons pas dire avec certitude ce que les attaquants recherchaient, à quelle fréquence les attaquants s’en prennent aux journalistes pour les espionner directement et les histoires sur lesquelles ils travaillent, ou pour aller à leurs sources et obtenir des informations compromettantes et sensibles. données qu’ils ont partagées avec la presse.”

Vojtěšek a déclaré que Candiru était assis bas après les révélations publiées par Microsoft et CitizenLab en juillet dernier. Le chercheur a déclaré que la société était sortie de l’ombre en mars avec un ensemble d’outils mis à jour. Le site du point d’eau, qu’Avast n’a pas réussi à identifier, s’est efforcé non seulement d’infecter uniquement certains visiteurs, mais également d’empêcher que les précieuses vulnérabilités du jour zéro ne soient découvertes par des chercheurs ou des pirates rivaux potentiels.

Vojtešek a écrit :

Fait intéressant, le site Web compromis contenait des artefacts d’attaques XSS en cours, et certaines pages contenaient des appels à l’avertissement de fonctionnalité Javascript, ainsi que des mots clés tels que “test”. Nous supposons que c’est ainsi que les attaquants ont testé la vulnérabilité XSS avant de finalement l’exploiter en injectant un morceau de code qui charge du Javascript malveillant à partir d’un domaine géré par l’attaquant. Ce code injecté était alors chargé d’acheminer les victimes ciblées (et uniquement les victimes ciblées) vers le serveur d’exploitation, via divers autres domaines contrôlés par l’attaquant.

Le code malveillant injecté dans le site Web compromis charge davantage Javascript à partir d'stylblock[.]com
agrandir / Le code malveillant injecté dans le site Web compromis charge davantage Javascript à partir d’stylblock[.]com

avast

Une fois que la victime atteint le serveur d’exploitation, Candiru collecte plus d’informations. Un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations collectées incluent la langue de la victime, le fuseau horaire, les informations d’écran, le type d’appareil, les plugins du navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc. Nous supposons que cela a été fait pour protéger davantage l’exploit et s’assurer qu’il n’est livré qu’aux victimes prévues. Si les données collectées sont conformes au serveur d’exploitation, il utilise RSA-2048 pour échanger une clé de chiffrement avec la victime. Cette clé de cryptage est utilisée avec AES-256-CBC pour établir un canal crypté par lequel les exploits zero-day sont livrés à la victime. Ce canal crypté est configuré au-dessus de TLS, cachant efficacement les exploits même à ceux qui décrypteraient la session TLS pour capturer le trafic HTTP en texte brut.

Malgré les efforts pour garder CVE-2022-2294 secret, Avast a réussi à récupérer le code d’attaque, qui a profité d’un débordement de tas dans WebRTC pour exécuter un code shell malveillant dans un processus de rendu. Le correctif a permis à Avast d’identifier la vulnérabilité et de la signaler aux développeurs pour obtenir des correctifs. La société de sécurité n’a pas été en mesure d’obtenir un exploit zero-day distinct qui était nécessaire pour que le premier exploit échappe au bac à sable de sécurité de Chrome. Cela signifie que ce deuxième jour zéro vivra pour combattre un autre jour.

Une fois DevilsTongue installé, il a tenté d’augmenter ses privilèges système en installant un pilote Windows qui contient toujours une vulnérabilité non corrigée, portant à au moins trois le nombre de jours zéro exploités dans cette campagne. Une fois le pilote non identifié installé, DevilsTongue exploiterait la faille de sécurité pour accéder au noyau, la partie la plus sensible de tout système d’exploitation. Les chercheurs en sécurité appellent la technique BYOVD, une abréviation pour « apportez votre propre conducteur vulnérable ». Cela permet aux logiciels malveillants de vaincre les défenses du système d’exploitation, car la plupart des pilotes accèdent automatiquement au noyau du système d’exploitation.

Avast a signalé le bogue au fabricant du pilote, mais rien n’indique qu’un correctif ait été publié. Au moment de la publication, seuls Avast et un autre moteur antivirus ont détecté l’exploit du pilote.

Depuis que Google et Microsoft ont corrigé CVE-2022-2294 début juillet, il y a de fortes chances que la plupart des utilisateurs de Chrome et Edge soient déjà protégés. Cependant, Apple a corrigé la vulnérabilité mercredi, ce qui signifie que les utilisateurs de Safari doivent s’assurer que leurs navigateurs sont à jour.

“Bien qu’il n’y ait aucun moyen pour nous de savoir avec certitude si la vulnérabilité WebRTC a également été exploitée par d’autres groupes, c’est une possibilité”, a écrit Vojtěšek. “Parfois, des zero-days sont découverts indépendamment par plusieurs groupes, parfois quelqu’un vend la même vulnérabilité/exploit à plusieurs groupes, etc. Mais nous n’avons aucune preuve qu’un autre groupe exploite le même zero-day.”

Leave a Reply

Your email address will not be published.