谷歌的研究人員周三表示，他們發現一家總部位于西班牙巴塞羅那的IT公司居然銷售利用Chrome、Firefox和Windows Defender中漏洞的高級軟件框架。

Variston IT自稱專門提供定制的信息安全解決方案，包括嵌入式監控和數據采集（SCADA）及物聯網集成技術、面向專有系統的定制安全補丁、數據發現工具、安全培訓以及嵌入式設備安全協議的開發。據谷歌威脅分析小組的一份報告顯示，Variston還銷售其官網上沒有提及的另一種產品：軟件框架，為客戶提供在他們想要監視的設備上偷偷安裝惡意軟件所需的一切。

兩位研究人員Clement Lecigne和Benoit Sevens表示，這些漏洞框架被用來利用n-day漏洞：這種漏洞是最近才打上補丁的，一些受害者目標尚未安裝它們。他們倆補充道，有證據表明，如果漏洞是零日（0-day）漏洞，這些框架也被使用了。研究人員公布發現結果是為了阻撓間諜軟件市場。間諜軟件市場在蓬勃發展，對各個群體構成了威脅。

他們倆寫道，TAG的研究著重表明，商業監視行業在蓬勃發展，近年來取得了長足的發展，給全球互聯網用戶帶來了風險。商業間諜軟件將高級監視能力交到了政府的手上，政府利用它們監視新聞記者、人權活動人士、政治反對派和持不同意見者。

研究人員進而對框架進行分類，他們通過谷歌的Chrome漏洞報告計劃從一個匿名來源收到了這些框架。每個框架附有指導說明和含有源代碼的壓縮包。這些框架被命名為Heliconia Noise、Heliconia Soft和Files。這些框架分別含有能夠針對Chrome、Windows Defender和Firefox部署漏洞利用工具的成熟源代碼。

Heliconia Noise框架中所含的代碼用于在二進制文件被框架生成之前清理這些文件，以確保文件不含有可能使開發者受到牽連的字符串。正如清理腳本的圖像所示，惡意字符串列表中包括“Variston”。

Variston的工作人員沒有回復本文尋求置評的電子郵件。

這些框架利用了谷歌、微軟和Firefox在2021年和2022年已修復的漏洞。Heliconia Noise含有針對Chrome渲染器的漏洞利用工具，以及用于逃逸Chrome安全沙箱的漏洞利用工具，安全沙箱旨在將不可靠的代碼存放在一個受保護的環境中，無法訪問操作系統的敏感部分。由于漏洞是在內部發現的，所以沒有CVE編號。

客戶可以對Heliconia Noise進行配置，以設置一些參數，比如投放漏洞利用工具的最長時間、到期失效日期以及指定何時將訪客視為有效目標的規則。

Heliconia Soft含有一個設有陷阱的PDF文件，該文件利用了CVE-2021-42298，微軟Defender Malware Protection的JavaScript引擎中的這個漏洞已于2021年11月修復。只要將該文件發給某人，就足以在其Windows上獲得覬覦的系統特權，因為Windows Defender可自動掃描發來的文件。

Files框架含有針對在Windows和Linux上運行的Firefox的一條記錄完備的漏洞利用工具鏈。它利用了CVE-2022-26485，這是Firefox在3月份修復的一個釋放后使用的漏洞。研究人員表示，Files可能至少從2019年開始就在利用這個代碼執行漏洞，遠早于該漏洞廣為人知或打上補丁。它適用于Firefox版本64到68。Files依賴的沙箱逃逸漏洞在2019年已被修復。

研究人員聲稱漏洞利用工具市場已日益失控。他們寫道：

TAG的研究表明了商業監視現象急劇蔓延，以及商業間諜軟件開發商能夠開發出高級功能，而以前只有擁有雄厚財力和技術專長的政府才能獲得這些功能。間諜軟件行業的發展將用戶置于險境之中，并使互聯網變得不太安全。盡管監視技術按照國家或國際法律可能是合法的，但它們常常被用于歪道，針對一系列群體實行數字間諜活動。這些濫用行為對網絡安全構成了重大風險，這就是為什么谷歌和TAG將繼續針對商業間諜軟件行業采取行動，并發表相關的研究結果。

Variston加入了其他漏洞利用工具賣家的行列，包括NSO Group、Hacking Team、Accuvant和Candiru。

本文翻譯自：https://arstechnica.com/information-technology/2022/11/google-ties-spanish-it-firm-to-0-days-exploiting-chrome-defender-and-firefox/