Chrome、WindowsDefender和Firefox中的零日漏洞都与西班牙一家商业IT公司的漏洞相关的高级软件框架有关。VaristonIT声称专注于提供定制的信息安全解决方案,包括嵌入式监控和数据采集(SCADA)和物联网集成技术、专有系统的定制安全补丁、数据发现工具、安全培训和嵌入式设备安全协议培训。发展。根据谷歌威胁分析小组的一份报告,Variston还销售其网站上未提及的另一种产品:一种软件框架,可为客户提供在他们想要监视的设备上偷偷安装恶意软件所需的一切。根据两位研究人员ClementLecigne和BenoitSevens的说法,这些漏洞框架用于利用n-day漏洞:此类漏洞最近才被修补,一些受害者目标尚未安装它们。他们补充说,有证据表明,如果漏洞利用是零日漏洞利用,也会使用这些框架。研究人员公布了他们的发现,试图阻止间谍软件市场。间谍软件市场正在蓬勃发展,并对各种群体构成威胁。两人写道,TAG的研究突显了近年来蓬勃发展的商业监控行业,该行业对全球互联网用户构成了风险。商业间谍软件将先进的监控能力置于政府手中,政府利用这些能力监视记者、人权活动家、政治对手和持不同政见者。研究人员继续对框架进行分类,这些框架是他们通过Google的Chrome漏洞报告程序从匿名来源收到的。每个框架都带有说明和包含源代码的tarball。这些框架被命名为HeliconiaNoise、HeliconiaSoft和Files。这些框架包含成熟的源代码,能够分别为Chrome、WindowsDefender和Firefox部署漏洞利用工具。HeliconiaNoise框架中包含的代码用于在框架生成二进制文件之前对其进行清理,以确保文件不包含可能使开发人员复杂化的字符串。如清理脚本图片所示,“Variston”包含在恶意字符串列表中。Variston工作人员没有回复寻求对本文发表评论的电子邮件。这些框架利用了Google、Microsoft和Firefox在2021年和2022年修复的漏洞。HeliconiaNoise包含Chrome渲染器的漏洞利用和逃避Chrome安全沙箱的漏洞,旨在将不可信的代码保留在受保护的环境中,而无需访问敏感的操作系统组件。部分。由于该漏洞是在内部发现的,因此没有CVE编号。客户可以配置HeliconiaNoise以设置参数,例如传送漏洞的最长时间、到期日期以及指定访客何时被视为有效目标的规则。HeliconiaSoft包含一个被困的PDF,它利用了CVE-2021-42298,这是MicrosoftDefender恶意软件保护的JavaScript引擎中的一个漏洞,已于2021年11月修复。只需将此文件发送给某人就足以在其Windows上获得梦寐以求的系统权限,因为WindowsDefender自动扫描传入的文件。文件框架包括一个有据可查的漏洞利用工具链,适用于在Windows和Linux上运行的Firefox。它利用了CVE-2022-26485,这是Firefox在3月份修复的发布后漏洞。研究人员说,文件可能至少从2019年就开始利??用代码执行漏洞,远早于它被广泛知晓或修补。它适用于Firefox64至68版本。Files依赖的沙箱逃逸漏洞已于2019年修复。研究人员声称,漏洞利用工具市场正在失控。他们写道:“TAG的研究表明商业监视的急剧扩散以及商业间谍软件开发人员开发高级功能的能力,这些功能以前只有财力雄厚和技术专长的政府才能使用。”间谍软件行业的发展使用户处于危险之中,并降低了Internet的安全性。虽然根据国家或国际法,监控技术可能是合法的,但它们经常以不正当的方式被用来对一系列群体进行数字间谍活动。这些滥用行为对网络安全构成了重大风险,这就是谷歌和TAG将继续采取行动并发布有关商业间谍软件行业的研究的原因。Variston加入了其他漏洞利用工具包销售商的行列,包括NSOGroup、HackingTeam、Accuvant和Candiru。本文翻译自:https://arstechnica.com/information-technology/2022/11/google-ties-spanish-it-firm-to-0-days-exploiting-chrome-defender-and-firefox/
