Lo sfruttamento delle vulnerabilità zero-day insite nei browser Chrome, Internet Explorer e Safari sta diventando una concreta minaccia prevalente e in aumento: è quanto affermano i ricercatori del Google Threat Analysis Group (TAG) che hanno descritto in dettaglio diversi di questi difetti di sicurezza, già corretti dai rispettivi fornitori.
Indice degli argomenti
Safari: zero-day sfruttato in una campagna malevola su LinkedIn
Il 19 marzo scorso, i ricercatori del TAG avrebbero scoperto un difetto su Safari WebKit, tracciato con l’identificativo CVE-2021-1879.
Prima della correzione, tale vulnerabilità risolta da Apple in un aggiornamento distribuito nello stesso mese di marzo, sarebbe stata sfruttata in natura, secondo la ricerca, da un attore probabilmente sostenuto dal governo russo.
Utilizzando la messaggistica di LinkedIn, sarebbero stati inviati a funzionari governativi di diversi paesi dell’Europa occidentale dei link malevoli.
“Se l’obiettivo avesse visitato il collegamento da un dispositivo iOS, sarebbe stato reindirizzato a un dominio controllato da un attaccante per la consegna di payload nella fase successiva[…]. Dopo diversi controlli di convalida per assicurarsi che il dispositivo sfruttato fosse un dispositivo reale, il payload finale sarebbe servito per sfruttare CVE-2021-1879”, spiegano gli analisti del gruppo di ricerca Google.
In particolare, si evince che tale exploit disattiverebbe le protezioni Same-Origin-Policy su un dispositivo infetto per raccogliere cookie di autenticazione verso diversi siti Web popolari, tra cui Google, Microsoft, LinkedIn, Facebook e Yahoo, consentendone l’invio tramite WebSocket a un IP presidiato.
Questo tipo di attacco sarebbe invece mitigato nel browser Chrome attraverso l’abilitazione del cosiddetto “site-isolation”.
Secondo gli stessi ricercatori, la campagna mirata ai dispositivi iOS con versioni da 12.4 a 13.7 sarebbe coincisa con quelle rivolte agli utenti su dispositivi Windows per distribuire Cobalt Strike e riconducibili allo stesso attore criminale.
Gli altri exploit zero-day rilevati
I ricercatori hanno anche rilevato, da inizio anno 2021, altre tre falle zero-day che hanno interessato altri due browser ancora molto diffusi Chrome e Internet Explorer (IE):
- CVE-2021-21166 e CVE-2021-30551, scoperte rispettivamente a febbraio in Chrome 88.0.4323.182 e a giugno in Chrome 91.0.4472.77;
- CVE-2021-33742, scoperta in Internet Explorer 11 ad aprile.
Tutti i difetti sono stati comunque già corretti dai rispettivi vendor:
- Chrome, con un primo e un secondo aggiornamento;
- Internet Explorer, con uno specifico aggiornamento;
Gli exploit che hanno preso di mira Chrome e IE
Nello specifico, secondo quanto si apprende dalla ricerca pubblicata, i due exploit relativi a Chrome (difetti di esecuzione del codice remoto RCE) sarebbero stati sfruttati distribuendo dei link inviati attraverso e-mail mirate contro utenze in Armenia e che dirottavano verso domini in realtà presidiati dagli attaccanti per carpire informazioni del sistema colpito (versione della build del sistema operativo, CPU, firmware e versione BIOS, risoluzione dello schermo, fuso orario, lingua, plug-in browser e tipi MIME disponibili) e decidere se e con quali modalità ad hoc distribuire gli exploit.
L’exploit che ha interessato IE sarebbe stato sfruttato, invece, tramite una campagna rivolta sempre a utenti armeni ma in questo caso con l’ausilio di macro VBA malevole per caricare contenuti all’interno dello stesso Internet Explorer.
“Ciò è avvenuto incorporando un oggetto ActiveX remoto utilizzando un oggetto OLE Shell.Explorer.1 o generando un processo di Internet Explorer tramite macro VBA per accedere a una pagina Web” spiegano i ricercatori Maddie Stone e Clemente Lecigne nel loro rapporto.
Sulla base di ulteriori evidenze, gli exploit di Chrome e Internet Explorer sarebbero stati sviluppati e venduti dallo stesso fornitore che fornisce funzionalità di sorveglianza a livello mondiale. Si legge sul report pubblicato dalla società Citizen Lab, che l’attività sarebbe da attribuire alla nota compagnia israeliana produttrice dello spyware Candiru.
Ulteriori precisazioni
I ricercatori hanno anche precisato che il bug CVE-2021-21166 riscontrato sulla versione 88.0.4323.182 di Chrome era presente anche nel codice condiviso con WebKit e che quindi anche Safari ne era vulnerabile.
Apple ha comunque risolto anche tale problema con il rilascio a marzo di una patch di sicurezza.
Attacchi zero-day: un trend in aumento
Secondo quanto riportato, la ricerca ha identificato 33 falle zero-day nel 2021, 11 in più rispetto al numero totale rilevato nel 2020.
Tale tendenza rifletterebbe un aumento del numero di questi tipi di vulnerabilità per alcuni motivi principalmente correlati al progresso nella sicurezza informatica, alle migliorie delle tecnologie di protezione e alla concomitante crescita delle piattaforme mobili e del numero di prodotti che gli attori delle minacce possono prendere di mira.
Tutti fattori che portano gli attaccanti ad avvalersi a loro volta di più vulnerabilità zero-day per le catene di attacco funzionali e raggiungere i loro obiettivi.
Come difendersi dagli attacchi zero-day
Purtroppo, proprio per definizione è praticamente impossibile riconoscere un exploit zero-day. Contro questa concreta minaccia non resta altro da fare che cercare di proteggersi in modo proattivo:
- affidandosi a prodotti antivirus che dispongono di algoritmi di rilevamento del comportamento in grado di individuare azioni sospette e tipiche degli attacchi zero-day;
- aggiornando costantemente dispostivi e applicativi (antivirus, sistema operativo, app e software) prestando attenzione alle patch rilasciate eventualmente dai fornitori per risolvere vulnerabilità sui loro prodotti;
- visitando esclusivamente siti conosciuti e affidabili;
- evitando di aprire allegati e-mail e link di dubbia provenienza.
