Gli exploit zero-day sono alcune delle vulnerabilità di sicurezza più temute, soprattutto perché le istituzioni che si occupano di correggerli sono già molto indietro rispetto alla curva. Non è raro che il nome di Google compaia in un exploit di questo tipo, dopotutto ha le mani ovunque: l’azienda ha registrato 58 exploit nel 2021, il che significa un aumento di oltre due volte rispetto all’anno precedente, anche se l’azienda attribuisce il numero più alto a un migliore rilevamento. Ebbene, possiamo ufficialmente contarne un altro per il 2022, poiché i ricercatori stanno ora rivelando un nuovo exploit che è stato nelle mani del distributore israeliano di spyware Candiru (noto anche come Saito Tech), che ha aperto un varco attraverso lo spyware DevilsTongue del browser Chrome per tracciare illegalmente i giornalisti in tutto il Medio Oriente.
Sebbene Google abbia patchato la vulnerabilità identificata come CVE-2022-2294 il 4 luglio con il rilascio stabile di Chrome v103.0.5060.114, essa rappresenta ancora una minaccia attiva per gli utenti che non hanno aggiornato il proprio browser. Avast riferisce che la vulnerabilità è stata segnalata a Google al momento della sua scoperta, il 1° luglio, in seguito alle lamentele di alcuni partner. Google non ha specificato come funziona la vulnerabilità per motivi di sicurezza, ma ha chiarito che è in fase di sfruttamento attivo.
Avast sostiene che Candiru ha iniziato a sfruttare la vulnerabilità 2294 nel marzo di quest’anno. Ha preso di mira principalmente giornalisti e persone di alto profilo in Libano, Palestina, Turchia e Yemen.
Il fatto che questo exploit sia stato trovato in WebRTC lo rende ancora più pericoloso. Affinché l’attacco abbia successo è sufficiente che la vittima apra il sito web colpito, che può essere una pagina creata dagli aggressori allo scopo oppure un sito web affidabile che è stato compromesso. Quest’ultimo caso si è verificato quando gli aggressori si sono infiltrati nel sito di un’agenzia di stampa libanese e hanno inserito frammenti di JavaScript per attuare attacchi di cross-site scripting, reindirizzando i visitatori verso un server infetto.
A coloro che vi sono arrivati sono stati dirottati i dati sensibili del browser, con il furto di ben 50 dati tra cui fuso orario, lingua, tipo di dispositivo, memoria del dispositivo, cookie, plugin del browser e così via. Una volta valutata la fattibilità dell’obiettivo, gli aggressori avrebbero avviato lo scambio di dati crittografati, consentendo così l’exploit zero-day. Avast ha dichiarato che lo spyware DevilsTongue utilizza un exploit “Bring Your Own Vulnerable Driver” o BYOVD dopo la prima sequenza. Ciò consentirebbe agli hacker di ottenere l’accesso in lettura/scrittura alla memoria del dispositivo di destinazione. Detto questo, questa fase presentava anche un punto di controllo per le potenziali vittime, per evitare che l’attacco andasse oltre.
La natura dell’exploit ha fatto sì che nemmeno il browser Safari di Apple fosse immune. Il team di Avast ha tuttavia precisato di aver riscontrato il problema solo su Windows. I ricercatori non sono riusciti a determinare il motivo dell’attacco specifico contro il sito di notizie del Libano, ma è abbastanza chiaro che i clienti di Candiru volevano sapere su cosa stavano riferendo i giornalisti della regione o accertare cosa stavano ricercando per una storia imminente. Un attacco di questa natura contro i giornalisti potrebbe anche smascherare le loro fonti confidenziali o i loro informatori, mettendo potenzialmente a rischio la loro vita.