Pazar, Eylül 8, 2024
Ana SayfaTeknoloji HaberleriChrome kullanıcılarına bulaşmak için kullanılan sıfırıncı gün, Edge ve Safari kullanıcıları için...

Chrome kullanıcılarına bulaşmak için kullanılan sıfırıncı gün, Edge ve Safari kullanıcıları için tehdit oluşturabilir,…

Birler ve sıfırlarla dolu bir bilgisayar ekranı ayrıca bir Google logosu ve hacklendi kelimesini içerir.

Güvenlik araştırmacıları, gizli bir siber saldırı yazılımı satıcısının, gazetecilere ve diğer hedeflere gizlice karmaşık casus yazılım bulaştıran kampanyalarda daha önce bilinmeyen bir Chrome güvenlik açığından ve diğer iki sıfır günden yararlandığını söyledi.

Güvenlik açığı izlenirken CVE-2022-2294, web tarayıcıları ve web tarayıcıları arasında gerçek zamanlı ses, metin ve video iletişim yeteneklerini etkinleştirmek için JavaScript programlama arabirimleri sağlayan açık kaynaklı bir proje olan Web Gerçek Zamanlı İletişimdeki bellek bozulması kusurlarından kaynaklanmaktadır. cihazlar. Google, güvenlik firması Avast’tan araştırmacıların şirkete, hedeflenen web sitelerine kötü amaçlı yazılımları bulaştıran ve daha sonra sık kullanıcılara bulaşma umuduyla su deliği saldırılarında istismar edildiğini özel olarak bildirmesinden sonra 4 Temmuz’da hatayı düzeltti. Microsoft ve Apple o zamandan beri aynı WebRTC kusurunu sırasıyla Edge ve Safari tarayıcılarında yamaladılar.

Avast Perşembe günü yaptığı açıklamada, her biri istismarı Lübnan, Türkiye, Yemen ve Filistin’deki Chrome kullanıcılarına kendi yolunda sunan birden fazla saldırı kampanyasını ortaya çıkardığını söyledi. Sulama yerleri, hangi ziyaretçilerin bulaştıracağını seçme konusunda oldukça seçiciydi. Delik siteleri güvenlik açığından başarıyla yararlandıktan sonra, erişimlerini, Microsoft’un geçen yıl Candiru adlı İsrail merkezli bir şirket tarafından satılan gelişmiş kötü amaçlı yazılıma verdiği ad olan DevilsTongue’u yüklemek için kullandılar.

Avast araştırmacısı Jan Vojtěšek, “Lübnan’da saldırganlar bir haber ajansının çalışanları tarafından kullanılan bir web sitesini ele geçirmiş gibi görünüyor” dedi. “Saldırganların neyin peşinde olduğunu kesin olarak söyleyemeyiz, ancak saldırganların gazetecilerin peşinden gitmelerinin nedeni, gazetecileri ve üzerinde çalıştıkları hikayeleri doğrudan gözetlemek ya da kaynaklarına ulaşmak ve tehlikeli bilgiler toplamaktır. ve basınla paylaştıkları hassas veriler.”

Vojtěšek, Candiru’nun geçen Temmuz ayında Microsoft ve CitizenLab tarafından yayınlanan ifşaatların ardından düşük yalan söylediğini söyledi. Araştırmacı, şirketin Mart ayında güncellenmiş bir araç seti ile gölgelerden yeniden çıktığını söyledi. Avast’ın tanımlamadığı su birikintisi sitesi, yalnızca virüs bulaştırılacak belirli ziyaretçileri seçmekte değil, aynı zamanda değerli sıfırıncı gün güvenlik açıklarının araştırmacılar veya potansiyel rakip bilgisayar korsanları tarafından keşfedilmesini engellemek için de çaba sarf etti.

Vojtěšek yazdı:

İlginç bir şekilde, güvenliği ihlal edilen web sitesi, “test” gibi anahtar kelimelerle birlikte Javascript işlevi uyarısı çağrılarını içeren sayfalarla birlikte, kalıcı XSS ​​saldırılarının artefaktlarını içeriyordu. Saldırganların, saldırgan tarafından kontrol edilen bir etki alanından kötü amaçlı Javascript yükleyen bir kod parçası enjekte ederek sonuçta onu gerçek anlamda kullanmadan önce XSS güvenlik açığını bu şekilde test ettiğini varsayıyoruz. Bu enjekte edilen kod daha sonra amaçlanan kurbanları (ve yalnızca amaçlanan kurbanları) saldırgan tarafından kontrol edilen diğer birçok etki alanı aracılığıyla istismar sunucusuna yönlendirmekten sorumluydu.

Güvenliği ihlal edilmiş web sitesine enjekte edilen kötü amaçlı kod, şık bloktan daha fazla Javascript yükleniyor[.]com
büyüt / Güvenliği ihlal edilmiş web sitesine enjekte edilen kötü amaçlı kod, şık bloktan daha fazla Javascript yükleniyor[.]com

dur

Kurban, istismar sunucusuna ulaştığında, Candiru daha fazla bilgi toplar. Kurbanın tarayıcısının yaklaşık 50 veri noktasından oluşan bir profili toplanır ve saldırganlara gönderilir. Toplanan bilgiler kurbanın dilini, saat dilimini, ekran bilgilerini, cihaz türünü, tarayıcı eklentilerini, yönlendireni, cihaz belleğini, çerez işlevselliğini ve daha fazlasını içerir. Bunun, istismarı daha fazla korumak ve yalnızca hedeflenen kurbanlara iletildiğinden emin olmak için yapıldığını varsayıyoruz. Toplanan veriler istismar sunucusunu tatmin ederse, kurbanla bir şifreleme anahtarı alışverişi yapmak için RSA-2048’i kullanır. Bu şifreleme anahtarı, sıfırıncı gün açıklarının kurbana teslim edildiği şifreli bir kanal oluşturmak için AES-256-CBC ile birlikte kullanılır. Bu şifreli kanal, düz metin HTTP trafiğini yakalamak için TLS oturumunun şifresini çözecek olanlardan bile açıkları etkili bir şekilde gizleyerek TLS’nin üzerine kuruludur.

CVE-2022-2294’ü gizli tutma çabalarına rağmen, Avast, bir oluşturucu işlemi içinde kötü amaçlı kabuk kodunu yürütmek için WebRTC’deki bir yığın taşmasından yararlanan saldırı kodunu kurtarmayı başardı. Kurtarma, Avast’ın güvenlik açığını belirlemesine ve düzeltilebilmesi için geliştiricilere bildirmesine izin verdi. Güvenlik firması, ilk istismarın Chrome’un güvenlik sanal alanından kaçabilmesi için gerekli olan ayrı bir sıfırıncı gün istismarını elde edemedi. Bu, bu ikinci sıfır gününün başka bir gün savaşmak için yaşayacağı anlamına gelir.

DevilsTongue yüklendikten sonra, yama uygulanmamış başka bir güvenlik açığı içeren bir Windows sürücüsü yükleyerek sistem ayrıcalıklarını yükseltmeye çalıştı ve bu kampanyada yararlanılan sıfır gün sayısını en az üçe çıkardı. Tanımlanamayan sürücü yüklendikten sonra DevilsTongue, herhangi bir işletim sisteminin en hassas parçası olan çekirdeğe erişmek için güvenlik açığından yararlanır. Güvenlik araştırmacıları, BYOVD tekniğini “kendi savunmasız sürücünüzü getirin” olarak adlandırıyor. Çoğu sürücünün bir işletim sistemi çekirdeğine otomatik olarak erişimi olduğundan, kötü amaçlı yazılımın işletim sistemi savunmasını yenmesine izin verir.

Avast, kusuru sürücü üreticisine bildirdi, ancak bir yamanın yayınlandığına dair bir gösterge yok. Yayınlanma zamanı itibariyle, yalnızca Avast ve başka bir virüsten koruma motoru, sürücü açığını algıladı.

Hem Google hem de Microsoft, CVE-2022-2294’ü Temmuz ayı başlarında yamaladığından, çoğu Chrome ve Edge kullanıcısının zaten korunmuş olma olasılığı yüksektir. Ancak Apple, güvenlik açığını Çarşamba günü düzeltti, bu da Safari kullanıcılarının tarayıcılarının güncel olduğundan emin olmaları gerektiği anlamına geliyor.

Vojtěšek, “WebRTC güvenlik açığının diğer gruplar tarafından da istismar edilip edilmediğini kesin olarak bilmemizin bir yolu olmasa da, bu bir olasılık” dedi. “Bazen sıfır günler birden fazla grup tarafından bağımsız olarak keşfedilir, bazen birileri aynı güvenlik açığını/istismarı birden fazla gruba satar, vb. Ancak, aynı sıfır gününden yararlanan başka bir grup olduğuna dair hiçbir belirtimiz yok.”

RELATED ARTICLES

Popüler Konular