Project Zero, el equipo de caza de errores de día cero de Google, descubrió a un grupo de ciberdelincuentes que utilizó 11 días cero en ataques dirigidos a usuarios de Windows, iOS y Android en un solo año.
El equipo de Project Zero reveló que la organización detrás de estos ataques realizó dos campañas separadas, en febrero y octubre de 2020.
Al igual que antes, los atacantes utilizaron un par de docenas de sitios web que alojaban dos servidores de exploits, cada uno de ellos dirigido a usuarios de iOS y Windows o Android.
“En nuestras pruebas, ambos servidores de exploits existían en todos los dominios descubiertos”, dijo Maddie Stone, miembro del equipo de Project Zero.
“Después de la huella digital inicial (que parece basarse en el origen de la dirección IP y el agente de usuario), se inyectó un iframe en el sitio web que apuntaba a uno de los dos servidores de exploits”.
En total, al analizar la campaña de octubre de 2020, los investigadores de Project Zero encontraron
-una cadena de exploits completa dirigida a Windows 10 totalmente parcheado utilizando Google Chrome
-dos cadenas parciales dirigidas a dos dispositivos Android diferentes totalmente parcheados con Android 10 utilizando Google Chrome y Samsung Browser
-varios exploits RCE para iOS 11-13 y un exploit de escalada de privilegios para iOS 13 (con los errores explotados presentes hasta iOS 14.1)
“Cuando se combina con su operación anterior de 2020, el actor utilizó al menos 11 0-days en menos de un año”, añadió Stone.
Los 11 zero-days utilizados para construir las cadenas de exploits durante los ataques del año pasado incluyen
CVE-2020-6418 – Vulnerabilidad de Chrome en TurboFan (febrero de 2020)
CVE-2020-0938 – Vulnerabilidad de las fuentes en Windows (febrero de 2020)
CVE-2020-1020 – Vulnerabilidad de las fuentes en Windows (febrero de 2020)
CVE-2020-1027 – Vulnerabilidad de CSRSS en Windows (febrero de 2020)
CVE-2020-15999 – Desbordamiento de la memoria intermedia de Chrome Freetype (octubre de 2020)
CVE-2020-17087 – Desbordamiento del búfer de la pila de Windows en cng.sys (octubre de 2020)
CVE-2020-16009 – Confusión de tipos en Chrome en el mapa TurboFan (octubre de 2020)
CVE-2020-16010 – Desbordamiento del búfer del heap de Chrome para Android (octubre de 2020)
CVE-2020-27930 – Lectura/escritura arbitraria en la pila de Safari a través de fuentes de tipo 1 (octubre de 2020)
CVE-2020-27950 – Revelación de memoria del kernel de iOS XNU en los trailers de mensajes de mach (octubre de 2020)
CVE-2020-27932 – Confusión de tipo del kernel de iOS con torniquetes (octubre de 2020)
Cada uno de los exploits descubiertos reveló un conocimiento experto de la vulnerabilidad explotada y del desarrollo del exploit.
Con información de: Bleeping Computer.