聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
遭利用的0day 编号为CVE-2022-2294,它是位于 WebRTC 中的一个堆缓冲区溢出漏洞,如遭成功利用可导致在目标设备上执行代码。谷歌在7月4日修复了该漏洞并表示该漏洞已遭活跃利用但并未提供更多详情。发现并报告该漏洞的Avast 的威胁研究员在报告中指出,调查针对客户的监控软件攻击后发现了该漏洞。
Avast 表示,Candiru 在2022年3月开始利用CVE-2022-2294 攻击位于黎巴嫩、土耳其、也门和巴勒斯坦的用户。
攻击者利用常见的水坑攻击技术,攻陷了目标将会访问的网站并利用浏览器中的一个未知漏洞,通过监控软件感染目标。无需用户交互即可实施攻击。用户仅需在 Chrome 或另外一款基于 Chromium 的浏览器中打开该网站即可实施攻击,因此危害较大。
在某次攻击中,攻击者攻陷了黎巴嫩某新闻机构使用的网站并植入JavaScript 片段,导致XSS攻击并将合法目标重新路由至exploit 服务器。受害者触及服务器后,就会被以50个数据点的方式获得相关个人详情。如果发现目标是有效目标,则攻击者会建立加密数据通信,使0day利用发生。
Avast 在报告中指出,“所收集的信息包括受害者的语言、时区、屏幕时间、设备类型、浏览器插件、引荐人、设备内存、cookie 功能等。”
在黎巴嫩攻击事件中,该0day使攻击者在渲染器进程中执行 shellcode,并进一步利用沙箱逃逸漏洞实施攻击。
由于该漏洞位于 WebRTC中,因此它也影响苹果的 Safari 浏览器。不过Avast 发现的exploit仅适用于 Windows 系统。
实施初始感染后,DevilsTongue 利用BYOVD 步骤提升权限,并获得对该受陷设备内存的读写权限。有意思的是,Avast 发现Candiru 使用的BYOVD 也是一个0day,即使厂商推出安全更新,仍然无法对抗该监控软件,因为易受攻击的版本与其绑定。
虽然目前并不清楚攻击者针对的是何种数据,但Avast 认为威胁行动者利用该数据了解目标记者正在研究的新闻资讯,借此收集记者与新闻媒体分享的信息和敏感数据。
商业监控软件厂商开发或购买0day exploit,攻击客户感兴趣的目标人群。
Avast 在报告中指出,上一次Candiru 被微软和公民实验室曝光时,该监控软件撤销了所有的DevilsTongue行动并躲在暗处执行行的 0day。遗憾的是,这种情况再次发生了。因此即使立即应用安全更新,也无法躲过商业监控软件。为解决这一问题,苹果计划在iOS 16 中推出“锁定模式”的新特性,限制设备特性和功能,防止敏感信息泄露或将监控软件感染的后果降至最低。
https://www.bleepingcomputer.com/news/security/chrome-zero-day-used-to-infect-journalists-with-candiru-spyware/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):间谍软件 Candiru 利用 Chrome 0day 攻击记者
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论