Hackers “especialistas” usaram 11 dias atuais para infectar usuários do Windows, iOS e Android

10

Uma equipe de hackers avançados explorou nada menos que 11 vulnerabilidades de hoje em uma campanha de nove meses que usou sites comprometidos para infectar dispositivos totalmente corrigidos com Windows, iOS e Android, disse um pesquisador do Google.

Usando novas técnicas de exploração e ofuscação, um domínio de uma ampla gama de tipos de vulnerabilidade e uma infraestrutura de entrega complexa, o grupo explorou quatro dias zerados em fevereiro de 2020. A capacidade dos hackers de encadear várias explorações que comprometeram dispositivos Windows e Android totalmente corrigidos levou os membros do Project Zero and Threat Analysis Group do Google a chamar o grupo de "altamente sofisticado".

Ainda não acabou

Na quinta-feira, a investigadora do Project Zero Maddie Stone disse que, nos oito meses que se seguiram aos ataques de fevereiro, o mesmo grupo explorou mais sete vulnerabilidades até então desconhecidas, que desta vez também residiam no iOS. Como foi o caso em fevereiro, os hackers entregaram as explorações por meio de ataques watering hole, que comprometem sites frequentados por alvos de interesse e adicionam código que instala malware nos dispositivos dos visitantes.

Em todos os ataques, os sites watering-hole redirecionaram os visitantes para uma infraestrutura extensa que instalou exploits diferentes, dependendo dos dispositivos e navegadores que os visitantes estavam usando. Enquanto os dois servidores usados ​​em fevereiro exploraram apenas dispositivos Windows e Android, os ataques posteriores também exploraram dispositivos com iOS. Abaixo está um diagrama de como funcionou:

Google

A capacidade de perfurar defesas avançadas construídas em sistemas operacionais bem fortificados e aplicativos que foram totalmente corrigidos – por exemplo, Chrome rodando no Windows 10 e Safari rodando no iOSA – foi uma prova da habilidade do grupo. Outro testamento foi a abundância de zerodays do grupo. Depois que o Google corrigiu uma vulnerabilidade de execução de código que os invasores estavam explorando no Renderizador Chrome em fevereiro, os hackers adicionaram rapidamente um novo exploit de execução de código para o motor Chrome V8.

Em um postagem do blog publicado na quinta-feira, Stone escreveu:

As vulnerabilidades cobrem um espectro bastante amplo de problemas – de uma vulnerabilidade JIT moderna a um grande cache de bugs de fonte. No geral, cada um dos exploits em si mostrou uma compreensão especializada do desenvolvimento do exploit e da vulnerabilidade que está sendo explorada. No caso do Chrome Freetype 0-day, o método de exploração era novo para o Project Zero. O processo para descobrir como acionar a vulnerabilidade de privilégio do kernel do iOS não seria trivial. Os métodos de ofuscação eram variados e demorados para descobrir.

Ao todo, os pesquisadores do Google reuniram:

  • 1 segmentação de rede completa com o Windows 10 totalmente corrigido usando o Google Chrome
  • 2 cadeias parciais direcionadas a 2 dispositivos Android diferentes totalmente corrigidos executando Android 10 usando o Google Chrome e o navegador Samsung, e
  • Explorações de RCE para iOS 11-13 e exploração de escalonamento de privilégios para iOS 13

Os sete dias zerados foram:

  • CVE-2020-15999 – Estouro de buffer de heap do Chrome Freetype
  • CVE-2020-17087 – Estouro de buffer de heap do Windows em cng.sys
  • CVE-2020-16009 – Confusão de tipo de Chrome na suspensão de mapa do TurboFan
  • CVE-2020-16010 – Estouro de buffer heap do Chrome para Android
  • CVE-2020-27930 – leitura / gravação de pilha arbitrária do Safari via fontes Tipo 1
  • CVE-2020-27950 – Divulgação da memória do kernel iOS XNU em trailers de mensagens mach
  • CVE-2020-27932 – confusão de tipo de kernel iOS com catracas

Defesas perfurantes

A complexa cadeia de explorações é necessária para romper as camadas de defesas que são integradas aos sistemas operacionais e aplicativos modernos. Normalmente, a série de explorações são necessárias para explorar o código em um dispositivo de destino, fazer com que o código saia de uma caixa de proteção de segurança do navegador e elevar os privilégios para que o código possa acessar partes confidenciais do sistema operacional.

A postagem de quinta-feira não ofereceu detalhes sobre o grupo responsável pelos ataques. Seria especialmente interessante saber se os hackers fazem parte de um grupo que já é conhecido pelos pesquisadores ou se é uma equipe nunca antes vista. Também seria útil obter informações sobre as pessoas visadas.

A importância de manter aplicativos e sistemas operacionais atualizados e evitar sites suspeitos ainda permanece. Infelizmente, nenhuma dessas coisas teria ajudado as vítimas hackeadas por esse grupo desconhecido.

Fonte: Ars Technica