Chrome0-day漏洞利用用于Candiru监控恶意软件。研究人员发现,以色列监控软件公司Candiru利用谷歌Chrome浏览器中的零日漏洞对中东的记者和特殊群体进行监控。CVE-2022-2294漏洞是Chrome浏览器WebRTC中一个基于堆的缓冲区溢出高危安全漏洞。成功利用该漏洞后,可在目标设备上实现任意代码执行。7月4日,谷歌修复了0-day漏洞,并表示该漏洞已被利用,但并未提供进一步的利用细节。7月21日,发现该漏洞的安全厂商Avast发布了一份公开报告,分析了该漏洞的利用情况。Avast表示,其分析发现,自2022年3月以来,Candiru一直在利用该漏洞攻击黎巴嫩、土耳其、也门和巴勒斯坦的用户。在攻击中,坎迪鲁使用了水坑攻击技术。用户访问被黑网站后,会利用浏览器中的未知漏洞感染监控恶意软件。整个攻击过程是交互式的。唯一需要做的就是用Chrome或基于Chromium的浏览器打开一个网站。打开的网站可能是受到攻击的合法网站或攻击者自己创建的网站。在一次攻击中,攻击者破坏了一家黎巴嫩新闻机构的网站并植入了一段JavaScript代码。代码可以发起XSS攻击并重新路由有效目标以利用服务器。图在注入代码以将JS受害者从远程资源加载到服务器后,服务器被分析了大约50个数据点。如果目标被认为是有效的,则会建立有关零日攻击的加密数据交换。收集的信息包括受害者电脑使用的语言、时区、设备信号、浏览器插件、设备内存、cookie功能等。在黎巴嫩攻击的案例中,零日漏洞可以执行shellcode,并且可以与另一个沙箱逃逸漏洞结合使用以获得额外的功能。初次感染后,攻击者使用BYOVD(自带驱动程序)程序来提升权限并获得对受感染设备内存的读写访问权限。图BYOVD漏洞利用中使用的漏洞ICOTL处理程序研究人员发现,Candiru使用的BYOVD也是一个0-day漏洞。目前尚不清楚攻击者的目标是什么数据,但研究人员认为,攻击者可以利用该漏洞来了解记者和其他人检索到的信息以用于监控目的。由于该漏洞存在于WebRTC中,因此它也影响了Apple的Safari浏览器。但到目前为止,研究人员只在Windows机器上发现了漏洞。本文翻译自:https://www.bleepingcomputer.com/news/security/chrome-zero-day-used-to-infect-journalists-with-candiru-spyware/
