Un vendeur secret de logiciels de cyberattaque a récemment exploité une vulnérabilité Chrome jusque-là inconnue et deux autres vulnérabilités Zero Days dans des campagnes qui ont secrètement infecté des journalistes et d’autres cibles avec des logiciels espions sophistiqués, ont déclaré des chercheurs en sécurité.
CVE-2022-2294, comme la vulnérabilité est suivie, provient de failles de corruption de mémoire dans Web Real-Time Communications, un projet open source qui fournit des interfaces de programmation JavaScript pour permettre des capacités de communication vocale, textuelle et vidéo en temps réel entre les navigateurs Web et dispositifs. Google a corrigé la faille le 4 juillet après que des chercheurs de la société de sécurité Avast ont informé en privé l’entreprise qu’elle était exploitée dans des attaques de point d’eau, qui infectent des sites Web ciblés avec des logiciels malveillants dans l’espoir d’infecter ensuite les utilisateurs fréquents. Microsoft et Apple ont depuis corrigé la même faille WebRTC dans leurs navigateurs Edge et Safari, respectivement.
Avast a déclaré jeudi avoir découvert plusieurs campagnes d’attaques, chacune livrant l’exploit à sa manière aux utilisateurs de Chrome au Liban, en Turquie, au Yémen et en Palestine. Les points d’eau étaient très sélectifs dans le choix des visiteurs à infecter. Une fois que les sites de point d’eau ont exploité avec succès la vulnérabilité, ils ont utilisé leur accès pour installer DevilsTongue, le nom que Microsoft a donné l’année dernière aux logiciels malveillants avancés vendus par une société basée en Israël nommée Candiru.
“Au Liban, les attaquants semblent avoir piraté un site Web utilisé par les employés d’une agence de presse”, a écrit Jan Vojtěšek, chercheur chez Avast. “Nous ne pouvons pas dire avec certitude ce que les attaquants auraient pu rechercher, mais souvent la raison pour laquelle les attaquants s’en prennent aux journalistes est de les espionner et les histoires sur lesquelles ils travaillent directement, ou d’accéder à leurs sources et de recueillir des informations compromettantes. et les données sensibles qu’ils ont partagées avec la presse.”
Vojtěšek a déclaré que Candiru avait fait profil bas à la suite des révélations publiées en juillet dernier par Microsoft et CitizenLab. Le chercheur a déclaré que la société était sortie de l’ombre en mars avec un ensemble d’outils mis à jour. Le site point d’eau, qu’Avast n’a pas identifié, a pris soin non seulement de ne sélectionner que certains visiteurs à infecter, mais également d’empêcher que ses précieuses vulnérabilités zero-day ne soient découvertes par des chercheurs ou des pirates rivaux potentiels.
Vojtešek a écrit :
Fait intéressant, le site Web compromis contenait des artefacts d’attaques XSS persistantes, avec des pages contenant des appels à la fonction d’alerte Javascript ainsi que des mots clés tels que “test”. Nous supposons que c’est ainsi que les attaquants ont testé la vulnérabilité XSS, avant de finalement l’exploiter pour de vrai en injectant un morceau de code qui charge du Javascript malveillant depuis un domaine contrôlé par l’attaquant. Ce code injecté était alors chargé d’acheminer les victimes visées (et uniquement les victimes visées) vers le serveur d’exploitation, via plusieurs autres domaines contrôlés par l’attaquant.
Agrandir / Le code malveillant injecté dans le site Web compromis, chargeant davantage de Javascript à partir d’stylblock[.]com
Avast
Une fois que la victime arrive sur le serveur de l’exploit, Candiru recueille plus d’informations. Un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations collectées incluent la langue de la victime, le fuseau horaire, les informations d’écran, le type d’appareil, les plugins du navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc. Nous supposons que cela a été fait pour protéger davantage l’exploit et s’assurer qu’il n’est livré qu’aux victimes ciblées. Si les données collectées satisfont le serveur d’exploitation, il utilise RSA-2048 pour échanger une clé de chiffrement avec la victime. Cette clé de cryptage est utilisée avec AES-256-CBC pour établir un canal crypté par lequel les exploits zero-day sont livrés à la victime. Ce canal crypté est configuré au-dessus de TLS, cachant efficacement les exploits même à ceux qui déchiffreraient la session TLS afin de capturer le trafic HTTP en clair.
Malgré les efforts pour garder CVE-2022-2294 secret, Avast a réussi à récupérer le code d’attaque, qui a exploité un débordement de tas dans WebRTC pour exécuter un shellcode malveillant dans un processus de rendu. La récupération a permis à Avast d’identifier la vulnérabilité et de la signaler aux développeurs afin qu’elle puisse être corrigée. L’entreprise de sécurité n’a pas été en mesure d’obtenir un exploit zero-day distinct qui était nécessaire pour que le premier exploit puisse échapper au bac à sable de sécurité de Chrome. Cela signifie que ce deuxième jour zéro vivra pour se battre un autre jour.
Une fois DevilsTongue installé, il a tenté d’élever ses privilèges système en installant un pilote Windows contenant une autre vulnérabilité non corrigée, portant à au moins trois le nombre de jours zéro exploités dans cette campagne. Une fois le pilote non identifié installé, DevilsTongue exploiterait la faille de sécurité pour accéder au noyau, la partie la plus sensible de tout système d’exploitation. Les chercheurs en sécurité appellent la technique BYOVD, abréviation de “apportez votre propre pilote vulnérable”. Il permet aux logiciels malveillants de vaincre les défenses du système d’exploitation, car la plupart des pilotes ont automatiquement accès à un noyau de système d’exploitation.
Avast a signalé la faille au fabricant du pilote, mais rien n’indique qu’un correctif ait été publié. Au moment de la publication, seuls Avast et un autre moteur antivirus ont détecté l’exploit du pilote.
Depuis que Google et Microsoft ont corrigé CVE-2022-2294 début juillet, il y a de fortes chances que la plupart des utilisateurs de Chrome et Edge soient déjà protégés. Apple, cependant, a corrigé la vulnérabilité mercredi, ce qui signifie que les utilisateurs de Safari doivent s’assurer que leurs navigateurs sont à jour.
“Bien qu’il n’y ait aucun moyen pour nous de savoir avec certitude si la vulnérabilité WebRTC a également été exploitée par d’autres groupes, c’est une possibilité”, a écrit Vojtěšek. “Parfois, les zero-days sont découverts indépendamment par plusieurs groupes, parfois quelqu’un vend la même vulnérabilité/exploit à plusieurs groupes, etc. Mais nous n’avons aucune indication qu’il existe un autre groupe exploitant ce même zero-day.”
![Le code malveillant injecté dans le site Web compromis, chargeant davantage de Javascript à partir d'stylblock[.]com](https://cdn.arstechnica.net/wp-content/uploads/2022/07/injected-code-640x57.png)
