Des failles zero-day de Chrome exploitées des semaines avant le correctif

Si vous utilisez Google Chrome, vous devez immédiatement mettre à jour votre navigateur pour corriger une grave faille de sécurité. Des acteurs de la menace nord-coréenne ont exploité une vulnérabilité de type « zero-day » d’exécution de code à distance (RCE) dans Google Chrome.

Pendant plus d’un mois, deux campagnes distinctes menées par des acteurs de la menace différents ont ciblé des clients avec le même kit d’exploitation, avant que l’entreprise ne corrige un bug RCE découvert en février.

Selon les experts, les acteurs nord-coréens de la menace ont exploité une vulnérabilité zero-day d’exécution de code à distance (RCE) dans le navigateur Web Chrome de Google plusieurs semaines avant que la faille ne soit découverte et corrigée.

Le groupe d’analyse des menaces de Google (TAG) a découvert la faille, repérée sous le nom de CVE-2022-0609, le 10 février, et l’a signalée et corrigée quatre jours plus tard dans le cadre d’une mise à jour. Les chercheurs ont déclaré à l’époque qu’une exploitation de la faille – une vulnérabilité d’usage – existait déjà dans la nature après l’utilisation gratuite du composant d’animation de Chrome.

Google TAG a maintenant révélé qu’il pense que deux groupes de menaces surnommés Operation Dream Job et Operation AppleJeus ont exploité la faille dès le 4 janvier dans le cadre de « campagnes ciblant des organisations basées aux États-Unis et couvrant les médias d’information, l’informatique, les crypto-monnaies et les technologies financières », selon un billet de blog publié jeudi par Adam Weidemann de Google TAG. D’autres organisations et nations peuvent également avoir été ciblées, a-t-il ajouté.

« L’un de ces efforts partage une infrastructure directe avec celui que nous avons signalé l’année dernière », a-t-il ajouté. Dans ce cas, des pirates associés à la Corée du Nord ont utilisé des techniques d’ingénierie sociale sophistiquées pour mettre en confiance des experts en sécurité afin d’infecter les ordinateurs de leurs entreprises avec un logiciel propriétaire de porte dérobée.

Bien que les deux organisations soient distinctes, elles ont utilisé le même kit d’exploitation dans leurs efforts, ce qui indique qu’elles peuvent être affiliées à la même entité avec une chaîne d’approvisionnement similaire. Cependant, « chacune a un objectif distinct et utilise des méthodologies distinctes », a expliqué M. Weidemann. En outre, a-t-il poursuivi, d’autres attaquants soutenus par le gouvernement nord-coréen peuvent avoir accès au même kit.

Deux campagnes, une vulnérabilité

Le message contenait des détails particuliers concernant l’opération Dream Job et l’opération AppleJeus. La première visait plus de 250 employés de dix organismes de presse, registraires de domaines, sociétés d’hébergement Web et fabricants de logiciels.

« Les cibles ont reçu des courriels prétendant provenir de recruteurs de Disney, Google et Oracle, les informant de perspectives d’emploi fictives », ajoute Weidemann. « Les courriels contenaient des liens vers de faux sites de recherche d’emploi tels que Indeed et ZipRecruiter. »

Lorsque les victimes cliquaient sur le lien, elles recevaient une iframe de navigateur dissimulée qui activait le kit d’exploitation, a-t-il expliqué. La campagne a utilisé de faux domaines d’emploi détenus par les attaquants, notamment disneycareers[.]net, find-dreamjob[.]com, indeedus[.]org, varietyjob[.]com et ziprecruiters[.]org.

La campagne a utilisé les URL d’exploitation suivantes, liées à l’opération Dream Job : https[ :]//colasprint[.]com/about/about.asp, un site Web valide mais piraté ; et https[ :]//varietyjob[.]com/sitemap/sitemap.asp.

L’opération AppleJeus, menée par un groupe de menace nord-coréen distinct, a exploité le même kit d’exploitation pour cibler plus de 85 victimes dans les secteurs du bitcoin et de la finance.

Les chercheurs ont découvert qu’au moins deux sites Web de sociétés financières authentiques avaient été détournés pour inclure des iframes cachées qui fournissaient le kit d’exploitation aux visiteurs du site. Google TAG a également découvert de faux sites Web – préconfigurés pour déployer des applications de crypto-monnaie trojanisées – qui contenaient des iframes malveillantes redirigeant les utilisateurs vers le kit d’exploitation, a noté M. Weidemann.

Selon l’article, les sites Web contrôlés par les attaquants détectés lors de l’opération AppleJeus comprenaient une douzaine de domaines, dont blockchainnews[.]vip, financialtimes365[.]com et giantblock[.]org.

Le kit d’exploitation est révélé (en partie)

Les chercheurs ont pu extraire des éléments essentiels du kit d’exploitation utilisé dans les deux opérations, qui ciblait les victimes via plusieurs phases et composants. Selon Weidemann, les liens vers la vulnérabilité étaient dissimulés derrière des iframes sur des sites Web que les attaquants contrôlaient ou avaient déjà infiltrés.

« Initialement, le kit envoie un logiciel Java hautement obscurci qui est utilisé pour prendre l’empreinte de la machine cible », a-t-il déclaré. « Ce script rassemble toutes les données accessibles du client, telles que l’agent utilisateur, la résolution, etc. et les renvoie ensuite au serveur d’exploitation. »

Si les données fournies au serveur satisfont à un ensemble de conditions inconnues, le client reçoit un exploit Chrome RCE et un peu plus de javascript. Si le RCE a réussi, le javascript demande l’étape suivante, que le script appelle « SBX », une abréviation typique de Sandbox Escape.

Les chercheurs n’ont pas été en mesure de récupérer les autres phases de l’exploit car les attaquants ont pris soin de sécuriser leurs exploits en appliquant de nombreuses protections, selon Weidemann.

Ces stratégies consistaient notamment à fournir l’iframe uniquement à des moments prédéterminés, vraisemblablement lorsque les attaquants prévoyaient qu’une victime ciblée visiterait le site, a-t-il expliqué.

En outre, les attaquants ont donné aux URL ciblées des identifiants uniques dans certaines campagnes de courrier électronique, qui auraient pu être utilisés pour imposer une politique de clic unique pour chaque lien. Cela aurait permis de ne servir le kit d’exploitation qu’une seule fois, selon Weidemann.

De plus, les attaquants ont chiffré chaque étape, y compris les réponses des clients, à l’aide d’une clé spécifique à la session. Enfin, les chercheurs ont découvert que les étapes suivantes de l’exploit n’étaient servies que si la précédente était réussie ; dans le cas contraire, le niveau suivant était ignoré.