Af Eskil Sørensen, 30/03/23
En række 0-dagssårbarheder fra sidste år er blevet udnyttet af kommercielle spyware-leverandører til angreb mod Android- og iOS-enheder. Det skriver The Hacker News på baggrund af en afsløring af Googles Threat Analysis Group (TAG).
Begrænset men målrettet
Udnyttelsen skete ved to forskellige kampagner, som både var ’begrænsede og meget målrettede’, idet de udnyttede patch-gabet mellem udgivelsen af en rettelse, og hvornår den faktisk blev implementeret på de pågældende enheder. Omfanget af de to kampagner og karakteren af målene er i øjeblikket ikke kendt, fremgår det af artiklen.
Det er til gengæld ikke ukendt, at angriberne udnytter perioden fra en sårbarhed bliver opdaget af fx en trusselsaktør med ét speciale, til den bliver udnyttet af en trusselsaktør med et andet speciale, til den bliver rettet af den ansvarlige leverandør og til sidst bliver kendt i offentligheden som en 0-dagssårbarhed. For at den lukkes helt kræver det så, at brugeren eller en systemadministrator opdaterer til den nyeste version.
Det ligger i en 0-dagssårbarheds natur, at en systemadministratorer eller brugere af sårbare produkter har 0 dage til at patche en sårbarhed, mens den angribende part har længere tid og visse tilfælde lang tid til at udnytte den.
Klassisk udnyttelse
Den første af de to kampagner fandt ifølge The Hacker News omtale af sagen sted i november 2022 og involverede afsendelse af forkortede links over SMS-beskeder til brugere i Italien, Malaysia og Kasakhstan. Med et klik blev modtagerne omdirigeret til websider, der hostede udnyttelser til Android eller iOS, før de igen blev omdirigeret til legitime nyhedswebsteder.
iOS-udnyttelseskæden udnyttede flere fejl, inklusive CVE-2022-42856, som på daværende tidspunkt var en 0-dag, CVE-2021-30900 og en omgåelse af pointer-autentificeringskode (PAC). Med dette kunne installeres en .IPA-fil på den modtagende enhed.
Android-udnyttelseskæden omfattede tre udnyttelser – CVE-2022-3723, CVE-2022-4135 (0-dag) og CVE-2022-38181 – hvorved en uspecificeret payload blev leveret. Denne blev observeret i december 2022 og bestod af flere 0-dage og andre sårbarheder og var rettet mod seneste version af Samsung Internet Browser. Udnyttelse her blev leveret som engangslinks via SMS til enheder placeret i U.A.E.
Android-brugere, der klikkede på linket og åbnede det i Samsungs internetbrowser, blev angiveligt omdirigeret til Chrome ved hjælp af en metode kaldet ’intention redirect’. Denne metode opstår, når en angriber helt eller delvist kan kontrollere indholdet af en hensigt, der bruges til at starte en ny komponent i forbindelse med en sårbar app.
Links:
https://thehackernews.com/2023/03/spyware-vendors-caught-exploiting-zero.html