Chrome 0 day漏洞被用于Candiru監(jiān)控惡意軟件。

研究人員發(fā)現(xiàn)以色列監(jiān)控軟件廠商Candiru使用谷歌Chrome 瀏覽器0 day漏洞來監(jiān)控位于中東地區(qū)的記者和特殊人群。

CVE-2022-2294漏洞是Chrome瀏覽器中WebRTC的基于堆的緩存溢出高危安全漏洞，成功利用該漏洞后可以在目標(biāo)設(shè)備上實(shí)現(xiàn)任意代碼執(zhí)行。

7月4日，谷歌修復(fù)了該0 day漏洞，并稱該漏洞已經(jīng)有在野漏洞利用，但未提供漏洞利用的進(jìn)一步細(xì)節(jié)。

7月21日，發(fā)現(xiàn)該漏洞的安全廠商Avast發(fā)布公開報(bào)告分析了該漏洞的利用情況。Avast稱經(jīng)過分析發(fā)現(xiàn)，Candiru自2022年3月就開始利用該漏洞攻擊位于黎巴嫩、土耳其、也門和巴勒斯坦的用戶。

在攻擊活動(dòng)中，Candiru使用了水坑攻擊技術(shù)，用戶訪問被黑的網(wǎng)站后就會(huì)利用瀏覽器中的未知漏洞來感染監(jiān)控惡意軟件。

整個(gè)攻擊過程是無需交互的。唯一需要做的是用Chrome瀏覽器或基于Chromium的瀏覽器打開一個(gè)網(wǎng)站。打開的網(wǎng)站可以是被入侵的合法網(wǎng)站，也可以是攻擊者自己創(chuàng)建的網(wǎng)站。

在一起攻擊活動(dòng)中，攻擊者入侵了黎巴嫩新聞機(jī)構(gòu)的網(wǎng)站，并植入了一段JS代碼。代碼可以發(fā)起XSS攻擊，并重路由有效目標(biāo)到利用服務(wù)器。

圖 注入代碼來從遠(yuǎn)程資源加載JS

受害者到服務(wù)器后，就會(huì)服務(wù)器用大約50個(gè)數(shù)據(jù)點(diǎn)進(jìn)行畫像。如果目標(biāo)被認(rèn)為是有效的，那么久會(huì)建立關(guān)于0 day漏洞利用的加密數(shù)據(jù)交換。

收集的信息包括受害者計(jì)算機(jī)所用的語言、時(shí)區(qū)、設(shè)備信號(hào)、瀏覽器插件、設(shè)備內(nèi)存、cookie功能等。

在黎巴嫩的攻擊案例中，0 day漏洞利用可以實(shí)現(xiàn)shellcode執(zhí)行，并可以與另一個(gè)沙箱逃逸漏洞相結(jié)合實(shí)現(xiàn)其他功能。

在初始感染后，攻擊者使用一個(gè)BYOVD（自帶驅(qū)動(dòng)）步驟來進(jìn)行權(quán)限提升，并獲取入侵設(shè)備內(nèi)存的讀寫權(quán)限。

圖 BYOVD漏洞利用中使用的有漏洞的ICOTL handler

研究人員發(fā)現(xiàn)Candiru使用的BYOVD也是一個(gè)0 day漏洞。目前還不清楚攻擊者的目標(biāo)數(shù)據(jù)是什么，但研究人員認(rèn)為攻擊者可以通過漏洞利用了解記者等檢索的信息，以達(dá)到監(jiān)控的目的。

因?yàn)樵撀┒次挥赪ebRTC中，因此也影響蘋果Safari瀏覽器。但目前研究人員只在Windows機(jī)器上發(fā)現(xiàn)了漏洞利用。

本文翻譯自：https://www.bleepingcomputer.com/news/security/chrome-zero-day-used-to-infect-journalists-with-candiru-spyware/