Gli exploit zero-day sono tra le falle di sicurezza più temute, poiché le organizzazioni che cercano di ripararle sono già molto indietro rispetto alla curva di utilizzo. Non è raro che il nome di Google appaia in un tale exploit; dopotutto, l’azienda ha rappresentato 58 exploit nel 2021, rappresentando un aumento di oltre il doppio rispetto all’anno precedente, ma l’azienda attribuisce il numero maggiore a un rilevamento migliore.
I ricercatori stanno ora svelando un nuovo exploit che è stato nelle mani del fornitore di spyware israeliano, Candiru, che ha navigato attraverso il malware DevilsTongue sul browser Chrome per seguire illegalmente i giornalisti in tutto il Medio Oriente.
Chrome, Google sta correggendo la vulnerabilità
Sebbene Google abbia corretto la vulnerabilità CVE-2022-2294 con la versione stabile di Chrome v103.0.5060.114 il 4 luglio, rappresenta ancora un pericolo attivo per gli utenti che non hanno aggiornato i propri browser. Secondo Avast, la vulnerabilità è stata divulgata a Google il 1 luglio dopo i reclami di alcuni dei suoi partner. Google non ha descritto come funzionava la vulnerabilità a causa di problemi di sicurezza, ma ha affermato che viene attivamente sfruttata.
Secondo Avast, Candiru ha iniziato a sfruttare la vulnerabilità 2294 nel marzo di quest’anno. Ha preso di mira in particolare giornalisti e personaggi pubblici in Libano, Palestina, Turchia e Yemen. Il fatto che questo attacco sia stato scoperto in WebRTC lo rende ancora più pericoloso. La vittima deve solo aprire il sito Web interessato affinché l’attacco sia efficace, che potrebbe essere una pagina creata dagli aggressori allo scopo o un sito Web rispettato che è stato compromesso. Quest’ultima è stata la situazione in cui gli aggressori hanno avuto accesso al sito Web di un’agenzia di stampa libanese e hanno aggiunto frammenti di JavaScript per lanciare attacchi di scripting cross-site mentre reindirizzavano i visitatori a un server infetto.
Coloro che sono arrivati lì hanno avuto il dirottamento dei dati sensibili del browser, con il furto di un massimo di 50 punti dati, inclusi fuso orario, lingua, tipo di dispositivo, RAM del dispositivo, cookie, plug-in del browser e così via. Gli aggressori inizierebbero lo scambio di dati crittografati dopo aver determinato la fattibilità del bersaglio, adattando così l’exploit zero-day.
Secondo Avast, lo spyware DevilsTongue ha utilizzato un exploit ‘Bring Your Own Vulnerable Driver’ o BYOVD dopo la sequenza iniziale. Ciò consentirebbe agli aggressori di acquisire l’accesso in lettura/scrittura alla RAM del dispositivo di destinazione. Tuttavia, questa fase servirebbe anche come punto di controllo per le potenziali vittime, impedendo che l’attacco prosegua ulteriormente.
A causa della natura della vulnerabilità, anche il browser Safari di Apple era vulnerabile. Il team di Avast, tuttavia, ha spiegato di aver riscontrato questo problema solo su Windows.