Una vulnerabilità zero-day di WebKit in iOS è stata sfruttata dagli stessi hacker dell’attacco a Solar Winds
Una falla zero-day recentemente scoperta e che ha interessato precedenti versioni di iOS è stata sfruttata da hacker supportati, a quanto pare, dal governo Russo in una campagna che ha messo al centro del mirino alcuni funzionari governativi dell’Europa occidentale.
La vulnerabilità è stata illustrata dai ricercatori di sicurezza di Google in un resoconto diramato nel corso della giornata di ieri. L’attacco si è svolto a partire da messaggi inviati ai suddetti funzionari governativi tramite LinkedIn contenenti un link. Coloro i quali hanno cliccato su tale link utilizzando un dispositivo iOS sono stati re-indirizzati ad un dominio sul quale si trovava un payload dannoso il cui scopo era solamente quello di esaminare il dispositivo. Dopo che i controlli hanno dato esito positivo è stato scaricato un secondo payload contenente l’exploit ora classificato come CVE-2021-1879, riferito nello specifico al motore WebKit di Safari, che è stato usato per aggirare alcune protezioni di sicurezza.
Secondo quanto riferito da Google la falla zero-day ha consentito di aggirare il meccanismo di protezione basato sul principio “Same-Origin-Policy”. Secondo questo principio un browser web permette agli script contenuti in una pagina web di accedere ai dati contenuti in una seconda pagina, solamente se le due pagine hanno la medesima origine (cioè una combinazione di schema URI, nome dell’host e numero di porta): in questo modo si previene che uno script dannoso su una pagina possa accedere a dati sensibili su un’altra pagina.
Aggirando il meccanismo di protezione gli hacker hanno potuto raccogliere le informazioni di autenticazione di vari servizi web (Google, Microsoft, LinkedIn, Facebook, Yahoo, eccetera) e inviarle ad un IP controllato dagli attaccanti. “La vittima dovrebbe avere una sessione aperta su questi siti Web da Safari affinché i cookie vengano esfiltrati con successo. Non si è verificata alcuna fuga dalla sandbox e non è stato impiantato alcunché tramite questo exploit. Le versioni interessate di iOS sono quelle da 12.4 a 13.7” hanno spiegato i ricercatori di Google. I browser che supportano funzionalità di isolamento siti, come Chrome o Firefox, non sono interessati da questo genere di attacchi.
Dietro la campagna c’è il gruppo Nobelium / APT29 / The Dukes / Cozy Bear
I ricercatori di Google, pur non nominando esplicitamente quale sia il gruppo hacker autore di questa campagna, sottolineano che l’operazione ha coinciso con una campagna che ha preso di mira anche sistemi Windows e che Microsoft ha reso nota nel mese di maggio. In quel caso il colosso di Redmond attribuì l’attacco al gruppo Nobelium (conosciuto anche con i nomi di APT29, The Dukes e Cozy Bear), ovvero la stessa mano dietro l’attacco alla catena di approvvigionamento di SolarWinds avvenuto lo scorso novembre.
Oltre alla falla zero-day relativa a iOS e WebKit, i ricercatori di Google hanno reso note altre tre falle zero-day a carico di Chrome (CVE-2021-21166 e CVE-2021-30551) e Internet Explorer (CVE-2021-33742). Tutte e 4 le vulnerabilità sono state utilizzate in tre diverse campagne: quella sopra illustrata e due differenti ma con bersaglio gli utenti armeni. Secondo le analisi dei ricercatori Google gli exploit per le vulnerabilità di Chrome e Internet Explorer sono state sviluppate da una stessa realtà, probabilmente specializzata in strumenti e azioni di sorveglianza, e vendute a due diversi attori. Nessuno di essi è stato specificatamente nominato dai ricercatori.
I ricercatori di Google sottolineano come nell’ultimo decennio sia aumentato in maniera significativa il numero di attaccanti che fanno uso di vulnerabilità zero-day. Ciò può essere interpretato positivamente poiché riflette l’aumento dei costi per gli attaccanti, derivanti dal fatto che per portare a termine i propri scopi devono sempre più avvalersi di falle zero-day in quanto chi si trova costretto a difendersi riesce più prontamente a chiudere i varchi d’accesso rappresentati dalle vulnerabilità note. C’è però un rovescio della medaglia: in precedenza l’individuazione di falle zero-day era possibile solo da gruppi nazionali con esperienza tecnica avanzata, con inoltre la capacità di trasformarle in exploit, ma dalla seconda metà degli anni 2010 si sono affacciate a questo mondo anche società private. I gruppi hacker non hanno più bisogno di competenze tecniche, ma solamente di risorse economiche per poter acquistare gli exploit che desiderano.
Fonte: http://feeds.hwupgrade.it/