Un vendeur secret de logiciels de cyberattaque a récemment exploité une vulnérabilité Chrome jusque-là inconnue et deux autres vulnérabilités Zero Days dans des campagnes qui ont secrètement infecté des infections et d’autres cibles avec des logiciels espions sophistiqués, ont déclaré des chercheurs en sécurité.
CVE-2022-2294, comme la vulnérabilité est suivie, provient de failles de corruption de mémoire dans Web Real-Time Communications, un projet open source qui fournit des interfaces de programmation JavaScript pour permettre des capacités de communication vocale, textuelle et vidéo en temps réel entre les navigateurs Web et dispositifs. Google a corrigé la faille le 4 juillet après que des chercheurs de la société de sécurité Avast ont informé en privé l’entreprise qu’elle était exploitée dans des attaques de point d’eau, qui infectent des sites Web ciblés avec des logiciels malveillants dans l’espoir d’infecter ensuite les utilisateurs fréquents. Microsoft et Apple ont depuis corrigé les mêmes failles WebRTC dans leurs navigateurs Edge et Safari, respectivement.
Avast a déclaré jeudi avoir découvert plusieurs campagnes d’attaques, chacune livrant l’exploit à sa manière aux utilisateurs de Chrome au Liban, en Turquie, au Yémen et en Palestine. Les points d’eau étaient très sélectifs dans le choix des visiteurs à infecter. Une fois que les sites de point d’eau ont exploité avec succès la vulnérabilité, ils ont utilisé leur accès pour installer DevilsTongue, le nom que Microsoft a donné l’année dernière aux logiciels malveillants avancés vendus par une société basée en Israël nommée Candiru.
“Au Liban, les attaquants semblent avoir piraté un site Web utilisé par les employés d’une agence de presse”, a écrit Jan Vojtěšek, chercheur chez Avast. “Nous ne pouvons pas dire avec certitude ce que les attaquants auraient pu rechercher, mais souvent la raison pour laquelle les attaquants les poursuivent est de les espionner et les histoires sur lesquelles ils travaillent directement, ou d’accéder à leurs sources et de recueillir des informations compromettantes et données sensibles qu’ils ont partagées avec la presse.”
Vojtěšek a déclaré que Candiru avait fait profil bas à la suite des révélations publiées en juillet dernier par Microsoft et CitizenLab. Le chercheur a déclaré que la société était sortie de l’ombre en mars avec un ensemble d’outils mis à jour. Le site point d’eau, qu’Avast n’a pas identifié, a pris soin non seulement de ne sélectionner que certains visiteurs potentiels à infecter, mais aussi d’empêcher que ses précieuses vulnérabilités zero-day ne soient découvertes par des chercheurs ou des pirates rivaux.
Vojtešek a écrit :
Fait intéressant, le site Web compromis contenait des artefacts d’attaques XSS persistantes, avec des pages contenant des appels à la fonction d’alerte Javascript ainsi que des mots clés tels que “test”. Nous supposons que c’est ainsi que les attaquants ont testé la vulnérabilité XSS, avant de finalement l’exploiter pour de vrai en injectant un morceau de code qui charge du Javascript malveillant depuis un domaine contrôlé par l’attaquant. Ce code injecté était alors chargé d’acheminer les victimes prévues (et uniquement les victimes visées) vers le serveur d’exploitation, via plusieurs autres domaines contrôlés par l’attaquant.
Agrandir / Le code malveillant injecté dans le site Web compromis, chargeant davantage de Javascript à partir d’stylblock[.]com
Avast
Une fois que la victime arrive sur le serveur de l’exploit, Candiru recueille plus d’informations. Un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations collectées incluent la langue de la victime, le fuseau horaire, les informations d’écran, le type d’appareil, les plugins du navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc. Nous supposons que cela a été fait pour protéger davantage l’exploit et s’assurer qu’il n’est livré qu’aux victimes ciblées. Si les données collectées satisfont le serveur d’exploitation, il utilise RSA-2048 pour échanger une clé de chiffrement avec la victime. Cette clé de cryptage est utilisée avec AES-256-CBC pour établir un canal crypté par lequel les exploits zero-day sont livrés à la victime. Ce canal crypté est configuré au-dessus de TLS, cachant efficacement les exploits même à ceux qui déchiffreraient la session TLS afin de capturer le trafic HTTP en clair.
Malgré les efforts pour garder CVE-2022-2294 secret, Avast a réussi à récupérer le code d’attaque, qui a exploité un débordement de tas dans WebRTC pour exécuter un shellcode malveillant dans un processus de rendu. La récupération a permis à Avast d’identifier la vulnérabilité et de la signaler aux développeurs afin qu’elle puisse être corrigée. L’entreprise de sécurité n’a pas été en mesure d’obtenir un exploit zero-day distinct qui était nécessaire pour que le premier exploit puisse échapper au bac à sable de sécurité de Chrome. Cela signifie que ce deuxième jour zéro vivra pour se battre un autre jour.
Une fois DevilsTongue installé, il a tenté d’élever ses privilèges système en installant un pilote Windows contenant une autre vulnérabilité non corrigée, portant à au moins trois le nombre de jours zéro exploités dans cette campagne. Une fois le pilote non identifié installé, DevilsTongue exploiterait la faille de sécurité pour accéder au noyau, la partie la plus sensible de tout système d’exploitation. Les chercheurs en sécurité appellent la technique BYOVD, abréviation de “apportez votre propre pilote vulnérable”. Il permet aux logiciels malveillants de vaincre les défenses du système d’exploitation, car la plupart des pilotes ont automatiquement accès à un noyau de système d’exploitation.
Avast a signalé les failles au fabricant du pilote, mais rien n’indique qu’un correctif ait été publié. Au moment de la publication, seuls Avast et un autre moteur antivirus ont détecté l’exploit du pilote.
Depuis que Google et Microsoft ont corrigé CVE-2022-2294 début juillet, il y a de fortes chances que la plupart des utilisateurs de Chrome et Edge soient déjà protégés. Apple, cependant, a corrigé la vulnérabilité mercredi, ce qui signifie que les utilisateurs de Safari doivent s’assurer que leurs navigateurs sont à jour.
“Bien qu’il n’y ait aucun moyen pour nous de savoir avec certitude si la vulnérabilité WebRTC a également été exploitée par d’autres groupes, c’est une possibilité”, a écrit Vojtěšek. “Parfois, les zero-days sont découverts indépendamment par plusieurs groupes, parfois quelqu’un vend la même vulnérabilité/exploit à plusieurs groupes, etc. Mais nous n’avons aucune indication qu’il existe un autre groupe exploitant ce même zero-day.”
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duration
Description
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
![Le code malveillant injecté dans le site Web compromis, chargeant davantage de Javascript à partir d'stylblock[.]com](https://cdn.arstechnica.net/wp-content/uploads/2022/07/injected-code-640x57.png)