Hacks sofisticados contra Android, Windows revela tesoros de día cero - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Hacks sofisticados contra Android, Windows revela tesoros de día cero

Hola de nuevo. Yo soy Eduardo Arroyo y esta vez vamos a hablar sobre Hacks sofisticados contra Android, Windows revela tesoros de día cero

Hacks sofisticados contra Android, Windows revela tesoros de día cero

Los ataques de abrevadero realizados por «expertos» explotaron las fallas de Chrome, Windows y Android y se realizaron en dos servidores.

Los investigadores de Google detallaron una importante campaña de piratería que se detectó a principios de 2020, que montó una serie de ataques sofisticados, algunos con fallas de día cero, contra las plataformas Windows y Android.

Trabajando juntos, investigadores de Google Project Zero y del Grupo de análisis de amenazas de Google (TAG) descubrió los ataques, que fueron «realizados por un actor altamente sofisticado», escribió Ryan de Project Zero en primero de una serie de blogs de seis partes sobre su investigación.

«Hemos descubierto dos servidores de exploits que ofrecen diferentes cadenas de exploits a través de ataques de pozo de agua», escribió. «Un servidor apuntaba a usuarios de Windows, el otro a Android».

Los ataques de abrevadero se dirigen a los sitios web que suelen utilizar las organizaciones y los inyectan con malware, infectando y obteniendo acceso a las máquinas de las víctimas cuando los usuarios visitan sitios infectados.

En el caso de los ataques descubiertos por los investigadores de Google, los atacantes ejecutaron de forma remota código malicioso en los servidores de Windows y Android utilizando exploits de Chrome. Los exploits usados ​​contra Windows incluían fallas de día cero, mientras que los usuarios de Android fueron atacados con cadenas de exploits que usaban exploits conocidos de «n-day», aunque reconocieron que era posible que también se usaran vulnerabilidades de día cero, dijeron. investigadores.

El equipo pasó meses analizando los ataques, incluido lo que sucedió. post-explotación en dispositivos Android. En ese caso, se proporcionaron cargas útiles adicionales que recopilaron información de huellas dactilares del dispositivo, datos de ubicación, una lista de procesos en ejecución y una lista de aplicaciones instaladas para el teléfono.

Error de día cero

Los investigadores publicaron Análisis de raíz de la causa para cada una de las cuatro vulnerabilidades de día cero de Windows que encontraron explotadas en sus ataques.

El primero, CVE-2020-6418, es un error de confusión de tipos anterior a 80.0.3987.122 que conduce a la ejecución remota de código. Existe en V8 en Google Chrome (Turbofan), que es el componente utilizado para procesar el código JavaScript. Permite que un atacante remoto pueda causar daños en el montón a través de una página HTML diseñada.

El segundo, CVE-2020-0938, es una vulnerabilidad de corrupción de pila trivial en el controlador de fuentes de Windows. Se puede activar cargando una fuente tipo 1 que incluye un objeto BlendDesignPositions especialmente diseñado. En los ataques, fue encadenado con CVE-2020-1020, otro defecto en el controlador de fuentes de Windows, esta vez en el procesamiento del objeto de fuente PostScript VToHOrigin, también provocado por la carga de una fuente Type 1 especialmente preparada. Ambos se utilizaron para la escalada de privilegios.

«En Windows 8.1 y versiones anteriores, la vulnerabilidad estaba encadenada CVE-2020-1020 (una condición de escritura en qué lugar) para establecer primero una carga útil de segunda etapa en la memoria del kernel de RWX en una dirección conocida, y luego saltar a ella a través de este error, «según Google». El proceso de explotación fue simple gracias a la simplicidad del problema y el alto grado de control sobre la pila del kernel. El error no se aprovechó en Windows 10. «

Y finalmente, CVE-2020-1027 es un desbordamiento del búfer de almacenamiento dinámico de Windows en el subsistema de tiempo de ejecución cliente / servidor (CSRSS), que es un subsistema esencial que siempre debe estar ejecutándose en Windows. El problema se utilizó como un escape del entorno limitado en una cadena de exploits del navegador que utiliza, en ocasiones, las cuatro vulnerabilidades.

«Esta vulnerabilidad se usó en una cadena de exploits junto con una vulnerabilidad de día 0 en Chrome (CVE-2020-6418). Para versiones anteriores del sistema operativo, incluso si estaban afectadas, el atacante coincidió con CVE -2020-6418 a un exploit de escalada de privilegios diferente (CVE-2020-1020 y CVE-2020-0938) «.

Todos han sido reparados desde entonces.

Características avanzadas

A partir de su comprensión de los ataques, los investigadores dijeron que los actores de la amenaza tenían una «infraestructura de objetivos compleja», aunque, curiosamente, no la usaban siempre.

«En algunos casos, los atacantes utilizaron un exploit de renderizado inicial para desarrollar huellas dactilares detalladas del usuario desde dentro de la caja de arena», según los investigadores. «En estos casos, el atacante adoptó un enfoque más lento: devolvió docenas de parámetros desde el dispositivo del usuario final, antes de decidir si continuar o no con una mayor explotación y utilizar un escape sandbox».

Otros escenarios de ataque mostraron que los atacantes optaron por aprovechar al máximo un sistema de inmediato; o, sin intentar ninguna explotación, señalaron los investigadores. «En el tiempo que teníamos antes de que los servidores cayeran, no pudimos determinar qué parámetros determinaban las rutas de explotación ‘rápidas’ o ‘lentas'», según la publicación.

En general, quienquiera que esté detrás de los ataques diseñó las cadenas de exploits para que se utilicen de forma modular para lograr eficiencia y flexibilidad, lo que muestra una clara evidencia de que son expertos en lo que hacen, dijeron los investigadores.

«Ellos [use] código complejo y bien diseñado con una variedad de nuevos métodos de explotación, registro maduro, técnicas de posexplotación sofisticadas y calculadas, y altos volúmenes de controles anti-análisis y de focalización «, según el post.

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: y reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security: 20 de enero a las 2 p.m. ET.

.

Puedes compartir en en tu Twitter y Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte