Penjual rahasia perangkat lunak serangan siber baru-baru ini mengeksploitasi kerentanan Chrome yang sebelumnya tidak diketahui dan dua zero-days lainnya dalam kampanye yang secara diam-diam menginfeksi jurnalis dan target lainnya dengan spyware canggih, kata peneliti keamanan.
CVE-2022-2294, karena kerentanan dilacak, berasal dari kelemahan korupsi memori di Web Real-Time Communications, sebuah proyek sumber terbuka yang menyediakan antarmuka pemrograman JavaScript untuk mengaktifkan kemampuan komunikasi suara, teks, dan video real-time antara browser web dan perangkat. Google menambal cacat pada 4 Juli setelah peneliti dari perusahaan keamanan Avast secara pribadi memberi tahu perusahaan bahwa itu sedang dieksploitasi dalam serangan lubang air, yang menginfeksi situs web yang ditargetkan dengan malware dengan harapan kemudian menginfeksi pengguna yang sering. Microsoft dan Apple masing-masing telah menambal kelemahan WebRTC yang sama di browser Edge dan Safari mereka.
Avast mengatakan pada hari Kamis bahwa mereka menemukan beberapa kampanye serangan, masing-masing memberikan eksploitasi dengan caranya sendiri ke pengguna Chrome di Lebanon, Turki, Yaman, dan Palestina. Situs sangat selektif dalam memilih pengunjung mana yang akan dijangkiti. Setelah situs berhasil mengeksploitasi kerentanan, mereka menggunakan akses mereka untuk menginstal DevilsTongue, nama yang diberikan Microsoft tahun lalu untuk malware canggih yang dijual oleh perusahaan yang berbasis di Israel bernama Candiru.
“Di Lebanon, para penyerang tampaknya telah menyusup ke situs web yang digunakan oleh karyawan kantor berita,” tulis peneliti Avast, Jan Vojtěšek. “Kami tidak dapat mengatakan dengan pasti apa yang mungkin dikejar para penyerang, namun seringkali alasan mengapa penyerang mengejar jurnalis adalah untuk memata-matai mereka dan cerita yang mereka kerjakan secara langsung, atau untuk mendapatkan sumber mereka dan mengumpulkan informasi yang membahayakan. dan data sensitif yang mereka bagikan kepada pers.”
Vojtěšek mengatakan Candiru telah berbohong setelah paparan yang diterbitkan Juli lalu oleh Microsoft dan CitizenLab. Peneliti mengatakan perusahaan itu muncul kembali dari bayang-bayang pada bulan Maret dengan perangkat yang diperbarui. Situs yang tidak diidentifikasi oleh Avast, bersusah payah tidak hanya dalam memilih hanya pengunjung tertentu untuk diinfeksi, tetapi juga dalam mencegah kerentanan zero-day yang berharga ditemukan oleh para peneliti atau calon peretas saingan.
Terlepas dari upaya untuk menjaga kerahasiaan CVE-2022-2294, Avast berhasil memulihkan kode serangan, yang mengeksploitasi heap overflow di WebRTC untuk mengeksekusi shellcode berbahaya di dalam proses renderer. Pemulihan memungkinkan Avast mengidentifikasi kerentanan dan melaporkannya ke pengembang sehingga dapat diperbaiki. Perusahaan keamanan tidak dapat memperoleh eksploitasi zero-day terpisah yang diperlukan sehingga eksploitasi pertama dapat lolos dari kotak pasir keamanan Chrome. Itu berarti hari nol kedua ini akan hidup untuk bertarung di hari lain.
Setelah DevilsTongue terinstal, ia berusaha untuk meningkatkan hak sistemnya dengan menginstal driver Windows yang mengandung kerentanan lain yang belum ditambal, sehingga jumlah zero-days yang dieksploitasi dalam kampanye ini menjadi setidaknya tiga. Setelah driver yang tidak dikenal diinstal, DevilsTongue akan mengeksploitasi kelemahan keamanan untuk mendapatkan akses ke kernel, bagian paling sensitif dari sistem operasi apa pun. Peneliti keamanan menyebut teknik itu BYOVD, kependekan dari “bawa pengemudi rentan Anda sendiri.” Ini memungkinkan malware untuk mengalahkan pertahanan OS karena sebagian besar driver secara otomatis memiliki akses ke kernel OS.
Avast telah melaporkan kekurangan tersebut kepada pembuat driver, tetapi tidak ada indikasi bahwa patch telah dirilis. Pada saat publikasi, hanya Avast dan satu mesin antivirus lainnya yang mendeteksi eksploitasi driver.
Karena Google dan Microsoft menambal CVE-2022-2294 pada awal Juli, kemungkinan besar sebagian besar pengguna Chrome dan Edge sudah terlindungi. Apple, bagaimanapun, memperbaiki kerentanan pada hari Rabu, yang berarti pengguna Safari harus memastikan browser mereka mutakhir.
“Meskipun tidak ada cara bagi kami untuk mengetahui dengan pasti apakah kerentanan WebRTC juga dieksploitasi oleh kelompok lain, itu adalah kemungkinan,” tulis Vojtěšek. “Terkadang zero-days ditemukan secara independen oleh banyak grup, terkadang seseorang menjual kerentanan/eksploitasi yang sama ke beberapa grup, dll. Tetapi kami tidak memiliki indikasi bahwa ada grup lain yang mengeksploitasi zero-day yang sama ini.”
Sunber: Ars Technica
