Różności i nowinki technologia

Hakerzy „eksperci” wykorzystali 11 dni zerowych do infekowania użytkowników systemów Windows, iOS i Android

Słowo ZERO-DAY jest ukryte pośród ekranu wypełnionego jedynkami i zerami.

Zespół zaawansowanych hakerów wykorzystał nie mniej niż 11 luk w zabezpieczeniach zeroday w trwającej 9 miesięcy kampanii, w której wykorzystano zainfekowane strony internetowe do infekowania w pełni załatanych urządzeń z systemem Windows, iOS i Android – powiedział badacz Google.

Korzystając z nowatorskich technik wykorzystywania i zaciemniania, opanowania szerokiego zakresu rodzajów luk w zabezpieczeniach oraz złożonej infrastruktury dostarczania, grupa wykorzystała cztery dni zerowe w lutym 2020 r. Zdolność hakerów do łączenia wielu exploitów, które włamały się na w pełni załatane urządzenia z systemem Windows i Android, doprowadziły do członków Google Project Zero i Threat Analysis Group, aby nazwać tę grupę „wysoce wyrafinowaną”.

Jeszcze nie koniec

W czwartek badaczka Project Zero, Maddie Stone, powiedziała, że ​​w ciągu ośmiu miesięcy następujących po lutowych atakach ta sama grupa wykorzystała siedem kolejnych nieznanych wcześniej luk, które tym razem znajdowały się również w iOS. Podobnie jak w lutym, hakerzy dostarczyli exploity za pomocą ataków typu watering hole, które włamują się na strony internetowe odwiedzane przez interesujące cele i dodają kod, który instaluje złośliwe oprogramowanie na urządzeniach odwiedzających.

We wszystkich atakach strony wodopoju przekierowywały odwiedzających do rozległej infrastruktury, która instalowała różne exploity w zależności od urządzeń i przeglądarek używanych przez odwiedzających. Podczas gdy dwa serwery używane w lutym wykorzystywały tylko urządzenia z systemem Windows i Android, późniejsze ataki wykorzystywały również urządzenia z systemem iOS. Poniżej znajduje się schemat, jak to działało:

Google

Możliwość przebijania zaawansowanych zabezpieczeń wbudowanych w dobrze ufortyfikowane systemy operacyjne i aplikacje, które zostały w pełni załatane – na przykład Chrome działający na Windows 10 i Safari działający na iOSA – była jednym z potwierdzeń umiejętności grupy. Kolejnym świadectwem była obfitość zerowych dni w grupie. Po tym, jak Google załatał lukę w zabezpieczeniach umożliwiającą wykonanie kodu, którą atakujący wykorzystali w module renderującym Chrome w lutym, hakerzy szybko dodali nowy exploit umożliwiający wykonanie kodu dla silnika Chrome V8.

W opublikowanym w czwartek poście na blogu Stone napisał:

Luki obejmują dość szerokie spektrum problemów – od współczesnej luki w zabezpieczeniach JIT do dużej pamięci podręcznej błędów czcionek. Ogólnie każdy z exploitów sam w sobie wykazał specjalistyczną wiedzę na temat rozwoju exploitów i wykorzystywanej luki. W przypadku Chrome Freetype 0-day metoda wykorzystania była nowatorska w stosunku do Project Zero. Proces ustalania, jak wyzwolić lukę w zabezpieczeniach jądra systemu iOS, byłby nietrywialny. Metody zaciemniania były zróżnicowane, a ich ustalenie było czasochłonne.

W sumie badacze Google zebrali:

  • 1 pełny łańcuch ukierunkowany na w pełni załatany system Windows 10 przy użyciu przeglądarki Google Chrome
  • 2 częściowe łańcuchy ukierunkowane na 2 różne w pełni załatane urządzenia z systemem Android z systemem Android 10 przy użyciu przeglądarki Google Chrome i Samsung Browser oraz
  • Exploity RCE dla iOS 11-13 i exploit eskalacji uprawnień dla iOS 13

Siedem dni zerowych to:

  • CVE-2020-15999 – przepełnienie buforu sterty Freetype Chrome
  • CVE-2020-17087 – przepełnienie buforu sterty systemu Windows w pliku cng.sys
  • CVE-2020-16009 – pomyłka typu Chrome w wycofaniu map TurboFan
  • CVE-2020-16010 – przepełnienie bufora sterty przeglądarki Chrome dla Androida
  • CVE-2020-27930 – odczyt / zapis dowolnego stosu Safari przy użyciu czcionek Type 1
  • CVE-2020-27950 – ujawnienie pamięci jądra iOS XNU w zwiastunach wiadomości Mach
  • CVE-2020-27932 – zamieszanie w jądrze systemu iOS z kołowrotami

Przebijająca obronę

Aby przebić się przez warstwy zabezpieczeń wbudowane w nowoczesne systemy operacyjne i aplikacje, wymagany jest złożony łańcuch exploitów. Zazwyczaj seria exploitów jest potrzebna do wykorzystania kodu na docelowym urządzeniu, wyłamania tego kodu z bezpiecznej piaskownicy przeglądarki i podniesienia uprawnień, aby kod mógł uzyskać dostęp do wrażliwych części systemu operacyjnego.

Czwartkowy post nie zawierał żadnych szczegółów na temat grupy odpowiedzialnej za ataki. Szczególnie interesujące byłoby wiedzieć, czy hakerzy są częścią grupy, która jest już znana badaczom, czy też jest to wcześniej niewidoczny zespół. Przydatne byłyby również informacje o osobach, które były celem.

Ważna jest aktualność aplikacji i systemów operacyjnych oraz unikanie podejrzanych witryn internetowych. Niestety, żadna z tych rzeczy nie pomogłaby ofiarom zhakowanym przez tę nieznaną grupę.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook