Chrome, Defender i Firefox 0-days vinculats a una empresa informàtica comercial a Espanya

Chrome, Defender i Firefox 0-days vinculats a una empresa informàtica comercial a Espanya
La paraula ZERO-DAY s'amaga enmig d'una pantalla plena d'uns i zeros.

Els investigadors de Google van dir dimecres que han vinculat una empresa informàtica amb seu a Barcelona, ​​​​Espanya, amb la venda de marcs de programari avançats que exploten vulnerabilitats a Chrome, Firefox i Windows Defender.

Variston IT es presenta com a proveïdor de solucions de seguretat de la informació a mida, que inclou tecnologia per a SCADA incrustat (control de supervisió i adquisició de dades) i integradors d’Internet de les coses, pedaços de seguretat personalitzats per a sistemes propietaris, eines per a la descoberta de dades, formació en seguretat i desenvolupament de protocols segurs per a dispositius encastats. Segons un informe del grup d’anàlisi d’amenaces de Google, Variston ven un altre producte que no s’esmenta al seu lloc web: marcs de programari que proporcionen tot el que necessita un client per instal·lar subrepticiament programari maliciós als dispositius que volen espiar.

Els investigadors Clement Lecigne i Benoit Sevens van dir que els marcs d’explotació es van utilitzar per explotar vulnerabilitats de n-days, que són aquelles que s’han pegat recentment prou perquè alguns objectius encara no les han instal·lat. L’evidència suggereix, van afegir, que els marcs també es van utilitzar quan les vulnerabilitats eren dies zero. Els investigadors estan revelant les seves troballes en un intent d’interrompre el mercat del programari espia, que segons van dir està en auge i suposa una amenaça per a diversos grups.

“La investigació de TAG subratlla que la indústria de la vigilància comercial està prosperant i s’ha expandit significativament en els darrers anys, creant risc per als usuaris d’Internet de tot el món”, van escriure. “El programari espia comercial posa capacitats avançades de vigilància en mans dels governs que les utilitzen per espiar periodistes, activistes dels drets humans, oposició política i dissidents”.

Els investigadors van continuar catalogant els marcs, que van rebre d’una font anònima a través del programa d’informes d’errors de Chrome de Google. Cadascun va venir amb instruccions i un arxiu que conté el codi font. Els marcs venien amb els noms Heliconia Noise, Heliconia Soft i Files. Els marcs contenien “codi font madur capaç de desplegar exploits per a Chrome, Windows Defender i Firefox” respectivament.

Al marc d’Heliconia Noise hi havia codi per netejar els fitxers binaris abans que siguin produïts pel marc per assegurar-se que no continguin cadenes que poguessin incriminar els desenvolupadors. Com mostra la imatge del guió de neteja, la llista de cadenes dolentes incloïa “Variston”.

Google

Els funcionaris de Variston no van respondre a un correu electrònic demanant comentaris per a aquesta publicació.

Els marcs van explotar vulnerabilitats que Google, Microsoft i Firefox van solucionar el 2021 i el 2022. Heliconia Noise va incloure tant un exploit per al renderitzador de Chrome, com un exploit per escapar de la caixa de proves de seguretat de Chrome, que està dissenyat per mantenir el codi no fiable contingut en un fitxer protegit. entorn que no pot accedir a parts sensibles d’un sistema operatiu. Com que les vulnerabilitats es van descobrir internament, no hi ha designacions CVE.

El client pot configurar Heliconia Noise per establir coses com el nombre màxim de vegades per servir els exploits, una data de caducitat i regles que especifiquen quan un visitant s’ha de considerar un objectiu vàlid.

Heliconia Soft va incloure un fitxer PDF amb trampes explosives que va explotar CVE-2021-42298, un error al motor JavaScript de Microsoft Defender Malware Protection que es va solucionar el novembre de 2021. Només enviar el document a algú va ser suficient per obtenir els cobejats privilegis del sistema a Windows perquè Windows Defender va escanejar automàticament els fitxers entrants.

El marc de fitxers contenia una cadena d’explotacions totalment documentada per al Firefox que s’executava a Windows i Linux. Explota CVE-2022-26485, una vulnerabilitat d’ús després de lliure que Firefox va solucionar el març passat. Els investigadors van dir que Files probablement va explotar la vulnerabilitat d’execució de codi des d’almenys el 2019, molt abans que fos coneguda públicament o pegat. Funcionava amb les versions de Firefox 64 a 68. L’escapada sandbox en què es basava Files es va solucionar el 2019.

Els investigadors van dibuixar una imatge d’un mercat d’explotació que cada cop està més fora de control. Van escriure:

La investigació de TAG ha demostrat la proliferació de la vigilància comercial i fins a quin punt els venedors comercials de programari espia han desenvolupat capacitats que abans només estaven disponibles per als governs amb butxaques profundes i experiència tècnica. El creixement de la indústria del programari espia posa en risc els usuaris i fa que Internet sigui menys segura i, tot i que la tecnologia de vigilància pot ser legal segons les lleis nacionals o internacionals, sovint s’utilitzen de maneres nocives per dur a terme espionatge digital contra diversos grups. Aquests abusos representen un risc greu per a la seguretat en línia, per això Google i TAG continuaran prenent mesures contra la indústria del programari espia comercial i publicaran investigacions sobre aquesta.

Variston s’uneix a les files d’altres venedors d’explotacions, com NSO Group, Hacking Team, Accuvant i Candiru.

Leave a Comment