Os invasores usaram uma combinação de vulnerabilidades do Android, Chrome e Windows, incluindo exploits de dia zero e n dias.

O Google publicou um relatório de seis partes hoje detalhando uma operação de hacking sofisticada que a empresa detectou no início de 2020 e que visava proprietários de dispositivos Android e Windows.

Os ataques foram realizados por meio de dois servidores de exploração, entregando diferentes cadeias de exploração por meio de ataques watering hole , disse o Google.

"Um servidor tinha como alvo os usuários do Windows, o outro, o Android", disse Project Zero, uma das equipes de segurança do Google, no primeiro de seis posts do blog .

O Google disse que ambos os servidores de exploração usaram as vulnerabilidades do Google Chrome para ganhar uma posição inicial nos dispositivos das vítimas. Uma vez que um ponto de entrada inicial foi estabelecido nos navegadores do usuário, os invasores implantaram uma exploração no nível do sistema operacional para obter mais controle dos dispositivos da vítima.

As cadeias de exploração incluíam uma combinação de vulnerabilidades de dia zero e de dia n, em que dia zero se refere a bugs desconhecidos pelos fabricantes de software e dia n se refere a bugs que foram corrigidos, mas ainda estão sendo explorados em liberdade.

Resumindo, o Google disse que os servidores de exploração continham:

Quatro bugs de "renderizador" no Google Chrome, um dos quais ainda era um dia zero no momento de sua descoberta. Duas explorações de escape de sandbox que abusam de três vulnerabilidades de dia zero no sistema operacional Windows. E um "kit de escalonamento de privilégios" composto de exploits de n dias conhecidos publicamente para versões mais antigas do sistema operacional Android.

Os quatro dias zero, todos corrigidos na primavera de 2020, foram os seguintes:

CVE-2020-6418 - Vulnerabilidade do Chrome no TurboFan ( corrigido em fevereiro de 2020 )

CVE-2020-0938 - Vulnerabilidade de fonte no Windows ( corrigido em abril de 2020 )

CVE-2020-1020 - Vulnerabilidade de fonte no Windows ( corrigido em abril de 2020 )

CVE-2020-1027 - Vulnerabilidade Windows CSRSS ( corrigido em abril de 2020 )

O Google disse que embora não tenha encontrado nenhuma evidência de exploits de dia zero do Android hospedados nos servidores de exploit, seus pesquisadores de segurança acreditam que o agente da ameaça provavelmente teve acesso ao dia zero do Android também, mas provavelmente não os estava hospedando nos servidores quando seus pesquisadores o descobriram.

GOOGLE: AS CADEIAS DE EXPLORAÇÃO ERAM COMPLEXAS E BEM PROJETADAS No geral, o Google descreveu as cadeias de exploração como "projetadas para eficiência e flexibilidade por meio de sua modularidade".

"Eles são códigos complexos e bem projetados com uma variedade de novos métodos de exploração, extração madura, técnicas de pós-exploração sofisticadas e calculadas e altos volumes de anti-análise e verificações de direcionamento", disse o Google.

"Acreditamos que equipes de especialistas projetaram e desenvolveram essas cadeias de exploração", mas o Google não forneceu quaisquer outros detalhes sobre os invasores ou o tipo de vítimas que eles almejavam.

Junto com sua postagem introdutória no blog, o Google também publicou relatórios detalhando um "bug infinito" do Chrome usado nos ataques, as cadeias de exploit do Chrome, as cadeias de exploit do Android , etapas de pós-exploração em dispositivos Android e as cadeias de exploit do Windows .

Os detalhes fornecidos devem permitir que outros fornecedores de segurança identifiquem ataques a seus clientes e rastreiem vítimas e outros ataques semelhantes realizados pelo mesmo agente de ameaça.

Fonte: ZDNet