Google dezvăluie lanțurile de exploatare Android și Windows de ultimă generație – Securitate


Cercetătorii Google în domeniul securității Project Zero au publicat o analiză detaliată din șase părți a unui set de vulnerabilități găsite pe două servere de exploatare la începutul anului trecut, care urmau să fie utilizate în așa-numitele atacuri de gaură de udare cu servere web compromise folosite pentru a pirata ținte.

raport detaliază activitatea a ceea ce spune Project Zero este opera unui „actor extrem de sofisticat” care operează o infrastructură complexă de direcționare.

Proiectul Zero nu a indicat cine ar putea fi actorul, dar a spus că lanțurile de exploatare găsite sunt concepute pentru eficiență și flexibilitate prin modularitatea lor.

„Sunt coduri complexe bine concepute, cu o varietate de metode noi de exploatare, exploatare matură, tehnici sofisticate și calculate post-exploatare și volume mari de controale anti-analiză și de direcționare”, au spus cercetătorii Project Zero.

„Credem că echipe de experți au proiectat și dezvoltat aceste lanțuri de exploatare”.

Cercetătorii au găsit exploatări pentru patru erori în browserul web Google Chrome, dintre care una a fost zi zero când a fost raportat pe 18 februarie anul trecut.

Au fost descoperite, de asemenea, două zile zero care exploatează vulnerabilitățile de redare a fonturilor în Microsoft Windows, împreună cu o eroare de depășire a bufferului de heap în subsistemul de execuție client / server (CSRSS) care a fost abuzat pentru a scăpa de sandboxing sau restricții de execuție software în sistemul de operare.

În schimb, atacatorii au folosit exploate-uri cunoscute pentru dispozitivele Android.

Echipele de dezvoltatori cu înaltă calificare care au construit și asamblat lanțurile de exploatare au conceput atacurile pentru a avea patru etape.

Informații detaliate despre dispozitivele compromise au fost trimise în timpul etapei 3 din lanțul de exploatare către serverele de comandă și control pentru direcționare suplimentară dincolo de primele două etape.

Codul rău intenționat pentru etapa 3 i-a impresionat pe cercetătorii Project Zero prin calitatea sa ridicată.

„Este deosebit de fascinant cât de complex și de bine conceput este acest cod al treilea stadiu atunci când consideri că atacatorii au folosit toate cele cunoscute public n-zile [known vulnerabilities] în etapa 2 ", au spus cercetătorii.

Atacatorii au folosit Google Chrome 0-day în etapa 1, exploatare publică pentru Android n-days în etapa 2 și un stadiu 3 matur, complex și bine conceput și proiectat.

„Acest lucru ne face să credem că actorul are probabil mai multe exploatări de 0 zi specifice dispozitivului”.

Etapa 3 va descărca, de asemenea, sarcina utilă finală pentru atacurile configurate cu informațiile trimise către serverul de comandă și comandă, dar Project Zero nu a furnizat detalii despre ceea ce face implantul Android pe care l-au capturat.

Actorii de amenințare și-au închis serverul de atac Windows înainte ca Project Zero să poată extrage implantul de acolo.

Întrebat de ce Project Zero a lansat analiza detaliată a lanțului de exploatare la aproape un an de la găsirea malware-ului, cercetătorul în materie de securitate Maddie Stone a citat întârzierile provocate de pandemia Covid-19 și are patru co-autori, inclusiv ea.

"Cu siguranță vrem să scoatem lucrurile mai devreme în viitor", a spus Stone iTnews.

Conducătorul echipei pentru proiectul zero Tim Willis ascuţit afirma că cercetarea publicată astăzi nu acoperă vulnerabilitățile în natură descoperite în octombrie 2020.

Acea lucrare de investigație este încă în desfășurare și va dura încă câteva luni.



Source link

Lasă un răspuns