Chrome, Defender e Firefox 0 dias vinculados a empresa comercial de TI na Espanha

Pesquisadores do Google disseram na quarta-feira que vincularam uma empresa de TI com sede em Barcelona, ​​​​na Espanha, à venda de estruturas avançadas de software que exploram vulnerabilidades no Chrome, Firefox e Windows Defender.

Variston TI apresenta-se como fornecedora de soluções de segurança da informação sob medida, incluindo tecnologia para integradores integrados SCADA (controle supervisório e aquisição de dados) e Internet das Coisas, patches de segurança personalizados para sistemas proprietários, ferramentas de descoberta de dados, treinamento de segurança e desenvolvimento de protocolos seguros para dispositivos embarcados. De acordo com um relatório do grupo de análise de ameaças do Google, a Variston vende outro produto não mencionado em seu site: estruturas de software que fornecem tudo o que um cliente precisa para instalar malware sub-repticiamente nos dispositivos que deseja espionar.

Os pesquisadores Clément Lecigne e Benoit Sevens disseram que as estruturas de exploração são usadas para explorar vulnerabilidades de n-dia, que foram corrigidas recentemente o suficiente para que alguns alvos ainda não as tenham instalado. A evidência sugere, eles acrescentaram, que os frameworks também foram usados ​​quando as vulnerabilidades eram de zero dias. Os pesquisadores estão divulgando suas descobertas em um esforço para interromper o mercado de spyware, que, segundo eles, está crescendo e representa uma ameaça para vários grupos.

“A pesquisa da TAG ressalta que a indústria de vigilância comercial está prosperando e cresceu significativamente nos últimos anos, criando riscos para os usuários da Internet em todo o mundo”, escreveram eles. “Spyware comercial coloca recursos avançados de vigilância nas mãos de governos que os usam para espionar jornalistas, ativistas de direitos humanos, oposição política e dissidentes.”

Os pesquisadores então listaram as estruturas, que receberam de uma fonte anônima por meio do programa de relatórios de bugs do Google Chrome. Cada um veio com instruções e um arquivo contendo o código-fonte. Os frameworks foram chamados de Heliconia Noise, Heliconia Soft e Files. As estruturas continham “código-fonte maduro capaz de implantar exploits para Chrome, Windows Defender e Firefox, respectivamente”.

A estrutura Heliconia Noise incluía código para limpar binários antes de serem produzidos pela estrutura para garantir que não contivessem strings que pudessem incriminar os desenvolvedores. Como mostra a imagem do script de limpeza, a lista de strings ruins incluía “Variston”.

Google

Funcionários de Variston não responderam a um e-mail solicitando comentários sobre o post.

As estruturas exploraram vulnerabilidades que Google, Microsoft e Firefox corrigiram em 2021 e 2022. Heliconia Noise incluiu uma exploração para o renderizador do Chrome, bem como uma exploração para escapar da caixa de proteção de segurança do Chrome, projetada para manter o código não confiável contido em um ambiente protegido. ambiente que não pode acessar partes sensíveis de um sistema operacional. Como as vulnerabilidades foram descobertas internamente, não há designações CVE.

O Heliconia Noise pode ser configurado pelo cliente para definir coisas como o número máximo de vezes para veicular explorações, uma data de expiração e regras especificando quando um visitante deve ser considerado um alvo válido.

O Heliconia Soft incluiu um arquivo PDF com armadilha que explorou o CVE-2021-42298, um bug no mecanismo JavaScript do Microsoft Defender Malware Protection que foi corrigido em novembro de 2021. Basta enviar o documento para alguém para obter privilégios de sistema cobiçados no Windows como O Windows Defender verificou automaticamente os arquivos recebidos.

A estrutura de arquivos continha uma cadeia de exploração totalmente documentada para o Firefox em execução no Windows e no Linux. Ele explora o CVE-2022-26485, um use-after-free vulnerabilidade corrigida pelo Firefox em março passado. Os pesquisadores disseram que o Files provavelmente explorou a vulnerabilidade de execução de código desde pelo menos 2019, muito antes de ser conhecido publicamente ou corrigido. Isso funcionou com as versões 64-68 do Firefox. Os arquivos de escape do sandbox foram corrigidos em 2019.

Os pesquisadores pintaram uma imagem de um mercado explorador crescendo fora de controle. Eles escreveram:

A pesquisa da TAG mostrou a proliferação da vigilância comercial e até que ponto os fornecedores de spyware comercial desenvolveram recursos que antes estavam disponíveis apenas para governos com bolsos cheios e conhecimento técnico. O crescimento da indústria de spyware coloca os usuários em risco e torna a Internet menos segura e, embora a tecnologia de vigilância possa ser legal de acordo com as leis nacionais ou internacionais, ela é frequentemente usada de forma prejudicial para realizar espionagem digital contra diversos grupos. Esses abusos representam um sério risco à segurança on-line, e é por isso que o Google e a TAG continuarão a agir contra o setor de spyware comercial e a publicar pesquisas sobre ele.

Variston junta-se às fileiras de outros fornecedores de exploração, incluindo NSO Group, Hacking Team, Accuvant e Candiru.