Google detalla las fallas de día cero de iOS, Chrome e IE recientes

Iniciado por AXCESS, Julio 16, 2021, 01:03:36 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de inteligencia de amenazas de Google arrojaron más luz el miércoles sobre cuatro días cero en la naturaleza en los navegadores Chrome, Safari e Internet Explorer que fueron explotados por actores maliciosos en diferentes campañas desde el comienzo del año.

Además, tres de los cuatro días cero fueron diseñados por proveedores comerciales y vendidos, y utilizados por actores respaldados por el gobierno, lo que contribuyó a un aumento en los ataques del mundo real.

La lista de vulnerabilidades ahora parcheadas es la siguiente:

    CVE-2021-1879: Use-After-Free en QuickTimePluginReplacement (Apple WebKit)
    CVE-2021-21166: Problema del ciclo de vida de los objetos de Chrome en audio
    CVE-2021-30551: Confusión de tipos de cromo en V8
    CVE-2021-33742: Escritura fuera de límites de Internet Explorer en MSHTML

Se cree que ambos días cero de Chrome, CVE-2021-21166 y CVE-2021-30551, fueron utilizados por el mismo actor y se entregaron como enlaces únicos enviados por correo electrónico a objetivos ubicados en Armenia, con los enlaces redirigidos a usuarios desprevenidos y hacia dominios controlados por atacantes que se hacían pasar por sitios web legítimos de interés para los destinatarios.

Los sitios web maliciosos se encargaron de tomar las huellas digitales de los dispositivos, incluida la recopilación de información del sistema sobre los clientes, antes de entregar una carga útil de segunda etapa.

Cuando Google lanzó un parche para CVE-2021-30551, Shane Huntley, Director del Grupo de Análisis de Amenazas (TAG) de Google, reveló que la vulnerabilidad fue aprovechada por el mismo actor que abusó de CVE-2021-33742, una ejecución remota de código explotada activamente Fallo en la plataforma Windows MSHTML que fue abordado por Microsoft como parte de su actualización Patch Tuesday el 8 de junio.

Los dos días cero fueron proporcionados por un corredor de explotación comercial a un adversario de un estado-nación, que los utilizó en ataques limitados contra objetivos en Europa del Este y Medio Oriente, agregó Huntley.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora, según un informe técnico publicado por el equipo, los tres días cero fueron "desarrollados por la misma empresa de vigilancia comercial que vendió estas capacidades a dos actores diferentes respaldados por el gobierno", y agregó que la falla de Internet Explorer se utilizó en una campaña orientada a usuarios armenios con documentos de Office maliciosos que cargaron contenido web en el navegador web.

Google no reveló las identidades del broker de exploits ni de los dos actores de amenazas que utilizaron las vulnerabilidades como parte de sus ataques.


El día cero de Safari, por el contrario, se refería a una falla de WebKit que podría permitir a los adversarios procesar contenido web creado con fines malintencionados que puede resultar en ataques universales de scripts entre sitios. Apple corrigió el problema el 26 de marzo de 2021.

Los ataques que aprovecharon CVE-2021-1879, que Google atribuyó a un "probable actor respaldado por el gobierno ruso", se ejecutaron mediante el envío de enlaces maliciosos a funcionarios del gobierno a través de LinkedIn que, cuando se hacía clic desde un dispositivo iOS, redirigían al usuario a un dominio que sirvió las cargas útiles de la siguiente etapa.

Vale la pena señalar que la ofensiva también refleja una ola de ataques dirigidos, desatados por piratas informáticos rusos rastreados como Nobelium, que se encontró abusando de la vulnerabilidad para atacar a agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales como parte de una campaña de phishing por correo electrónico.

Nobelium, un actor de amenazas vinculado al Servicio de Inteligencia Exterior de Rusia (SVR), también es sospechoso de orquestar el ataque a la cadena de suministro de SolarWinds a fines del año pasado. Es conocido por otros alias como APT29, UNC2452 (FireEye), SolarStorm (Unidad 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) y Iron Ritual (Secureworks).

"A mediados de 2021, se han utilizado 33 exploits de día cero en ataques que se han divulgado públicamente este año, 11 más que el número total de 2020", señalaron los investigadores de TAG, Maddie Stone y Clement Lecigne.
"Si bien hay un aumento en el número de exploits de día cero que se utilizan, creemos en un mayor esfuerzo de detección y divulgación".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta