我们最近发现了一个 Google Chrome 的零日漏洞 (CVE20222294),此漏洞在野外被利用,企图攻击中东的 Avast 用户。具体而言,大部分攻击发生在黎巴嫩,其中不少是针对记者的。
该漏洞是一种 WebRTC 的内存损坏,攻击者利用它实现了在 Chrome 渲染进程中执行 shellcode。我们将这个漏洞报告给了 Google,他们于 2022 年 7 月 4 日进行了修补。
根据这次攻击中使用的恶意软体和战术,我们可以自信地将其归因于一家名为 Candiru 的神秘间谍软体供应商。这个名字是威胁行为者自己选的,以一种可怕的 寄生鱼 为灵感。
在 2021 年 7 月,Candiru 被 微软 和 CitizenLab 曝光后,这家公司藏身数月,最可能的原因是他们在更新恶意软体以逃避现有的检测。我们看到他们于 2022 年 3 月再次出现,使用零日漏洞对位于黎巴嫩、土耳其、也门和巴勒斯坦的 Avast 用户发动饮水孔攻击。我们相信这些攻击具有高度针对性。
此次有多个攻击活动,每个活动以不同的方式将漏洞传递给受害者。
在黎巴嫩,攻击者似乎已经入侵了一个被新闻机构员工使用的网站。我们无法确定攻击者究竟想要什么,但攻击者经常针对记者,旨在监视他们及其正在撰写的故事,或获取他们的消息来源,以及他们与媒体分享的敏感信息。
有趣的是,被入侵的网站中包含持久性 XSS 攻击的蛛丝马迹,存在一些页面调用了 Javascript 函数 alert,跟随著像 test 的关键字。我们猜测这是攻击者在测试 XSS 漏洞,最终通过注入一段代码实现了真正的利用,该代码从攻击者控制的域加载恶意 Javascript。这段注入的代码负责将预定的受害者且仅仅是预定的受害者导向漏洞伺服器,并透过其他一些攻击者控制的域进行路由。
梯子npv加速恶意代码注入到被入侵的网站,从 stylishblock[]com 加载进一步的 Javascript
一旦受害者访问漏洞伺服器,Candiru 会收集更多信息。受害者浏览器的配置档,包括约 50 个数据点,会被收集并发送给攻击者。所收集的信息包括受害者的语言、时区、萤幕信息、设备类型、浏览器插件、引用来源、设备内存、Cookie 功能等等。我们推测这是为了进一步保护利用程式,并确保它只传递给目标受害者。如果收集到的数据满足漏洞伺服器的要求,它会使用 RSA2048 与受害者交换加密密钥。这个加密密钥使用 AES256CBC 与受害者建立一个加密通道,透过该通道将零日漏洞传递给受害者。这个加密通道是基于 TLS 建立的,有效地隐藏了漏洞,即使是那些想要解密 TLS 会话以捕获明文 HTTP 流量的人也无法识别。
我们设法捕捉到一个利用了 WebRTC 中的堆缓冲区溢出以实现渲染进程内部 shellcode 执行的零日漏洞。此零日漏洞与一个沙盒逃逸漏洞连锁,但后者不幸地受到进一步保护,我们无法恢复它。我们从渲染器漏洞中提取了一个 PoC 并发送给 Google 的安全团队。他们修补了这个漏洞,并赋予它 CVE20222294,并在 Chrome 版本 10305060114稳定通道中发布了修补程式。
尽管该漏洞是专门针对 Windows 上的 Chrome 设计的,但其潜在影响更广泛。由于根本原因位于 WebRTC 中,这个漏洞影响了不仅是其他基于 Chromium 的浏览器如微软 Edge,还包括其他浏览器,如苹果的 Safari。我们不知道 Candiru 是否开发了针对 Chrome 以外的其他浏览器的漏洞利用,但这是有可能的。我们的 Avast Secure Browser 于 7 月 5 日进行了修补。微软在 7 月 6 日采用了 Chromium 的修补程序,而苹果在 7 月 20 日为 Safari 发布了 修补程式。我们鼓励所有其他 WebRTC 整合商尽快进行修补。
在漏洞链的最终阶段,恶意载荷称为 DevilsTongue,一种完整的间谍软体试图通过另一个零日漏洞进入内核。这次,它的目标是一个 合法的签名内核驱动,以 BYOVD带上你自己的脆弱驱动的方式进行。请注意,为了利用该驱动,必须先将其放置到档案系统中Candiru 使用的路径是 CWindowsSystem32driversHWsys,然后再进行加载,这就提供了一个良好的检测机会。
该驱动通过 IOCTL 请求被利用。特别是,有两个易受攻击的 IOCTL:0x9C40648C 可用于读取物理内存,0x9C40A4CC 可用于写入物理内存。我们将这一点报告给驱动的开发者,他们承认了这个漏洞,并宣称正在著手修补。不幸的是,这项修补无法阻止攻击者,因为他们可以继续利用旧的,未修补的驱动。我们还在讨论可能的撤销,但那也不是万能的解决方案,因为 Windows 不总是检查驱动的撤销状态。驱动封锁似乎是目前最佳的解决方案。
其中一个易受攻击的 ioctl 处理程序
尽管我们无法确定其他团体是否也利用了 WebRTC 漏洞,但这是有可能的。有时候,零日漏洞会由多个团体独立发现,有时则是某人将相同的漏洞/利用出售给多个团体等等。但我们没有任何迹象表明有其他团体在利用这同一个零日漏洞。
由于 Google 迅速在 7 月 4 日修补了这个漏洞,Chrome 用户只需在浏览器提示他们重新启动以完成应用更新时单击按钮即可。其他大多数基于 Chromium 的浏览器用户,包括 Avast Secure Browser,也应按照相同程序操作。Safari 用户应更新至版本 156。
badshop[]netbestcarent[]orgcoreupdate[]comdatanalytic[]orgexpertglobal[]orgonlymusic[]netpopsonglist[]comquerylight[]netsmartstand[]orgstylishblock[]comwebsupdate[]com
档案系统CWindowsSystem32migrationnetiopmigdllCWindowsSystem32migrationsppvmigdllCWindowsSystem32migrationspvmigdllCWindowsSystem32imeimejpimjpueactdllCWindowsSystem32imeimejpimjpuexpdllCWindowsSystem32imeimetcimtcprotdllCWindowsSystem32imesharedimccphddllCWindowsSystem32imesharedimebrokevdllCWindowsSystem32imesharedimecpmeiddllCWindowsSystem32imesharedimepadsvddllCWindowsSystem32migrationimjprmigdllCWindowsSystem32wbemdmwmibridgeprov132dllCWindowsSystem32wbemesscli32dllCWindowsSystem32wbemnetdacim32dllCWindowsSystem32wbemnetpeerdistcim32dllCWindowsSystem32wbemviewprov32dllCWindowsSystem32wbemvsswmi32dllCWindowsSystem32wbemwbemcore32dllCWindowsSystem32wbemwbemdisp32dllCWindowsSystem32wbemwbemsvc32dllCWindowsSystem32wbemwfascim32dllCWindowsSystem32wbemwin32encryptablevolume32dllCWindowsSystem32wbemwmiaprpl32dllCWindowsSystem32driversHWsysCWindowsSystem32driversHWsysdat
所有 dll 档案可能出现附加的 inf 扩展名例如,CWindowsSystem32migrationnetiopmigdllinf
被劫持的 CLSIDs 持久性机制注册表键 合法的默认值HKEYLOCALMACHINESOFTWAREClassesCLSID{4590F8111D3A11D0891F00AA004B2E24}InprocServer32 systemrootsystem32wbemwbemproxdllHKEYLOCALMACHINESOFTWAREClassesCLSID{4FA18276912A11D1AD9B00C04FD8FDFF}InprocServer32 systemrootsystem32wbemwbemcoredllHKEYLOCALMACHINESOFTWAREClassesCLSID{7C857801738111CF884D00AA004B2E24}InProcServer32 systemrootsystem32wbemwbemsvcdllHKEYLOCALMACHINESOFTWAREClassesCLSID{CF4CC405E2C54DDDB3CE5E7582D8C9FA}InprocServer32 systemrootsystem32wbemwmiutilsdll
IoCs 也可在我们的 IoC 库 中找到。
标签:Candiru、CVE20222294、漏洞利用、Google Chrome、零日
分享:XFacebook
