Ahora parcheado, los exploits aprovecharon los errores en Windows, Chrome y versiones anteriores de Android a través de ataques de abrevadero, dice Google.
El Proyecto Zero de Google es una iniciativa destinada a descubrir vulnerabilidades de día cero y otros errores que podrían explotarse para infectar sistemas y dispositivos con malware. Ahora, el grupo ha revelado una serie de vulnerabilidades que podrían haber afectado a una gran cantidad de usuarios si no hubieran sido parcheados.
En un serie de publicaciones de blog publicado, Google reveló que descubrió dos servidores maliciosos configurados para entregar diferentes campañas de explotación a través de ataques de pozo de agua. En un ataque de este tipo, los ciberdelincuentes determinan qué sitios web visitan diferentes organizaciones o grupos y luego comprometen esos sitios con malware con la esperanza de infectar a los visitantes.
Un servidor capturado por Google apuntaba a usuarios de Windows, mientras que el otro servidor estaba dirigido a usuarios de Android. Ambos servidores utilizaron vulnerabilidades de Google Chrome para intentar ejecutar código de forma remota en los dispositivos afectados. Los exploits para Chrome y Windows incluían vulnerabilidades de día cero, mientras que el de Android aprovechó las vulnerabilidades de n días.
Una vulnerabilidad de día cero es aquella que se descubre recientemente pero que el proveedor desconoce y, por lo tanto, aún no hay ningún parche disponible. Una vulnerabilidad de n días es aquella que es públicamente conocida y posiblemente corregida por el proveedor, pero que aún se puede explotar.
Las vulnerabilidades de N días pueden ser más problemáticas, ya que rápidamente se vuelven de conocimiento común entre los hackers y los ciberdelincuentes. En algunos casos, el parche emitido por el proveedor también debe aplicarse en el lado del cliente para mitigar la amenaza de manera generalizada.
Al analizar el comportamiento del pirata informático, Google dijo que cree que tenían acceso a vulnerabilidades de día cero en Android a pesar de que el equipo de Project Zero no encontró ninguna. Pero los expertos pudieron extraer los siguientes detalles de los servidores de explotación:
- El renderizador explota cuatro errores en Chrome, uno de los cuales todavía era de día cero en el momento del descubrimiento.
- Dos exploits de escape de sandbox que abusan de tres vulnerabilidades de día cero en Windows.
- Un “kit de escalada de privilegios” compuesto de exploits de n días conocidos públicamente para versiones anteriores de Android.
En algunos casos, los piratas informáticos utilizaron un exploit para capturar las huellas dactilares de los usuarios dentro de la caja de arena. En estos casos, los atacantes recopilaron una gran cantidad de datos del propio dispositivo del usuario antes de decidir si perseguir o no el exploit. En otros casos, los atacantes optaron por explotar completamente un sistema sin perder tiempo.
En cinco publicaciones de blog de seguimiento, Google muestra y describe el código utilizado en estos ataques de explotación.
Todos los exploits de día cero descubiertos fueron parcheados el año pasado por los proveedores apropiados como se detalla en las siguientes CVE (Vulnerabilidades y exposiciones comunes).
- CVE-2020-6418—Vulnerabilidad de Chrome en TurboFan (corregido en febrero de 2020)
- CVE-2020-0938—Font Vulnerability en Windows (corregido en abril de 2020)
- CVE-2020-1020—Font Vulnerability en Windows (corregido en abril de 2020)
- CVE-2020-1027—Vulnerabilidad de Windows CSRSS (solucionado en abril de 2020)
“Estas cadenas de exploits están diseñadas para brindar eficiencia y flexibilidad a través de su modularidad”, dijo Google en su publicación de blog. “Son un código complejo y bien diseñado con una variedad de métodos de explotación novedosos, registros maduros, técnicas de posexplotación sofisticadas y calculadas, y grandes volúmenes de comprobaciones de antianálisis y focalización. Creemos que equipos de expertos han diseñado y desarrollado estos explotar cadenas “.