Los editores de software espía han desarrollado y utilizado exploits de día cero contra usuarios de terminales iOS y Android a lo largo de 2022. Nada realmente nuevo excepto que durante el año pasado, estas cadenas de explotación también se basaron en fallas que se sabe que funcionan, explica. en un último informe investigadores de seguridad del Grupo de Análisis de Amenazas (TAG) de Google. “Los exploits de día cero se utilizaron al mismo tiempo que otros ataques (días n) y aprovecharon la brecha significativa entre el lanzamiento del parche y su implementación completa en los endpoints”, indica la investigación. "Nuestros hallazgos resaltan hasta qué punto los proveedores de vigilancia están proliferando capacidades que históricamente sólo han sido utilizadas por gobiernos con la experiencia técnica para desarrollar e implementar exploits".

Esta situación pone de relieve más que nunca la importancia que tiene para los usuarios y los fabricantes de terminales acelerar la adopción de parches de seguridad, cuya capacidad de respuesta, sin embargo, sigue siendo variable. Por ejemplo, al ser el único fabricante de hardware para terminales iOS y el diseñador del software que se ejecuta en ellos, Apple tiene un control mucho más estricto de su ecosistema móvil que el que pueden tener quienes fabrican móviles Android. Por eso, los iPhone y iPad siempre han tenido una tasa de adopción de parches mucho más alta que la de Android. porque si Google crea el sistema operativo base, docenas de fabricantes lo personalizan para sus propios productos y, por lo tanto, cada uno mantiene su propio firmware por separado.

Índice
  1. Una campaña maliciosa combinada para corromperlos a todos
  2. Centrarse en la cadena de exploits de Android
  3. Terminales Samsung también en el visor

Una campaña maliciosa combinada para corromperlos a todos

En noviembre de 2022, Google TAG detectó una campaña de ataque por SMS dirigida a usuarios de iOS y Android en Italia, Malasia y Kazajstán utilizando una combinación de exploits para ambas plataformas. La campaña incluía URL bit.ly acortadas que, al hacer clic, llevaban a los usuarios a una página web que contenía los exploits y luego los redireccionaban a sitios web legítimos, como un portal de seguimiento de envíos de la empresa italiana BRT Logística o un popular sitio de noticias en Malasia. Luego, la cadena de exploits de iOS combinó una vulnerabilidad de ejecución remota de código que era desconocida y sin parchear en ese momento en WebKit, el motor de renderizado de sitios web de Apple utilizado en Safari e iOS. Esta falla, ahora catalogada como CVE-2022-42856, se solucionó en enero después de que se informara Google TAG a Apple.

Sin embargo, una vulnerabilidad de ejecución remota de código en el motor del navegador web no es suficiente para comprometer un dispositivo, porque los sistemas operativos móviles como iOS y Android utilizan técnicas de espacio aislado que limitan los privilegios del navegador. Por lo tanto, el atacante combinó este día cero con un error de escalada de privilegios y escape del sandbox (CVE-2021-30900) en AGXAccelerator, un componente de los controladores de GPU corregido por Apple en iOS 15.1 en octubre de 2021. Esta cadena de exploits también utilizó una técnica de evasión. parcheado en marzo de 2022, observado en exploits utilizados por una empresa de software espía dirigido a un oponente político egipcio en el exilio y contra un periodista egipcio. En realidad, estos dos procesos tenían una función muy específica llamada make_bogus_transform, lo que sugiere un vínculo común. En la campaña de noviembre observada por Google TAG, la carga útil final de la cadena de exploits era un malware simple que informaba periódicamente a los atacantes de la ubicación GPS de los sistemas infectados, pero también les daba la posibilidad de implementar archivos .IPA (aplicación de archivo de iOS) en ellos.

Centrarse en la cadena de exploits de Android

Los usuarios de Android enfrentaron una combinación similar de falla en la ejecución de código en el motor del navegador Chrome, escape del sandbox y escalada de privilegios. La falla de ejecución del código fue CVE-2022-3723, una vulnerabilidad de confusión de tipos del mundo real realizada por investigadores de Avast y corregida en la versión 107.0.5304.87 de Chrome en octubre de 2022. Se mezcló con una derivación de la zona de pruebas de Chrome GPU (CVE-2022 -4135). solucionado en Android en noviembre de 2022, así como otro día cero que afecta a los controladores de GPU ARM Mali (CVE-2022-38181) parcheado por ARM en agosto de 2022. Esta cadena de exploits funcionó contra usuarios de sistemas Android con GPU ARM Mali y una versión de Chrome con actualizaciones anteriores a la v106.

El principal problema de esta situación ha sido el retraso necesario entre que ARM libere los parches de código y que los fabricantes de terminales los integren en su propio firmware seguido de sus propias actualizaciones de seguridad. Una situación que vuelve a subrayar la importancia que tiene para los proveedores acelerar la integración de parches de seguridad críticos y, para los usuarios, mantener actualizadas las aplicaciones de sus sistemas, especialmente las críticas (navegadores, mensajería de clientes, etc.).

Terminales Samsung también en el visor

Una campaña independiente, descubierta en diciembre de 2022, también estaba dirigida específicamente a los usuarios del navegador de Internet predeterminado de Samsung en los terminales Android del fabricante coreano y basada en el proyecto de código abierto Chromium. Esta campaña también utilizó enlaces enviados por SMS a usuarios de los Emiratos Árabes Unidos, pero la página de inicio que entregó el exploit era idéntica al TAG observado previamente para el marco Heliconia desarrollado por el proveedor de software espía Variston. Este exploit combinaba varias vulnerabilidades que explotaban el navegador de Internet de Samsung o su firmware. Una de las vulnerabilidades, CVE-2022-4262 (confusión de tipos) que provocaba la ejecución de código en Chrome, se solucionó en diciembre de 2022. Esto se combinó con otro escape de sandbox (CVE-2022-3038) cerrado en agosto de 2022 en la versión 105 de Chrome. Sin embargo, el navegador web de Samsung en el momento de la campaña de ataque estaba basado en la versión 102 de Chromium y por lo tanto no incluía estas últimas mitigaciones... mostrando de una vez por todas la capacidad de los atacantes para aprovechar todas las oportunidades vinculadas a la lenta disponibilidad de parches.

Tenga en cuenta también que esta cadena de exploits también se basó en otras fallas: una de escalada de privilegios (CVE-2022-22706) en el nivel del controlador del kernel de la GPU ARM Mali, corregida por ARM en enero de 2022. Cuando los ataques tuvieron lugar en diciembre de 2022, la última versión de firmware del sistemas Samsung no tenía Aún no se ha incorporado una solución. Otra escalada de privilegios de día cero (CVE-2023-0266) en el subsistema de audio del kernel de Linux que brinda a los atacantes acceso de lectura y escritura al kernel, así como varias filtraciones de información a nivel del kernel que Google ha informado tanto a ARM como a Samsung como de días cero. "Estas campañas continúan enfatizando la importancia de los parches, ya que los usuarios no se verían afectados por estas cadenas de exploits si estuvieran usando un dispositivo completamente actualizado", dijeron los investigadores de Google TAG. "Las mitigaciones intermedias como PAC, V8 sandbox y MiraclePTR tienen un impacto real en los desarrolladores de exploits porque habrían necesitado errores adicionales para solucionar estas mitigaciones".