Google revela una sofisticada operación de hacking de Windows y Android

Google publicó hoy un informe de seis partes en el que se detalla una sofisticada operación de piratería informática que la empresa detectó a principios de 2020 y que tenía como objetivo a los propietarios de dispositivos tanto de Android como de Windows.

Los ataques se llevaron a cabo a través de dos servidores de explotación entregando diferentes cadenas de explotación a través de ataques de agujeros de agua, dijo Google.

«Un servidor se dirigió a los usuarios de Windows, el otro se dirigió a Android», dijo el ProjectZero, uno de los equipos de seguridad de Google, en la primera de las seis entradas del blog.

Google dijo que ambos servidores de explotación utilizaron las vulnerabilidades de Google Chrome para obtener una posición inicial en los dispositivos de la víctima. Una vez que se estableció un punto de entrada inicial en los navegadores de los usuarios, los atacantes desplegaron un exploit a nivel de sistema operativo para obtener un mayor control de los dispositivos de la víctima.

Las cadenas de explotación incluían una combinación de vulnerabilidades tanto de día cero como de día n, donde día cero se refiere a los errores desconocidos por los fabricantes de software, y día n se refiere a los errores que han sido parcheados pero que siguen siendo explotados en estado salvaje.

Con todo, Google dijo que los servidores de explotación contenían:

  • Cuatro errores de «renderización» en Google Chrome, uno de los cuales todavía era un día 0 en el momento de su descubrimiento.
  • Dos exploits de escape de la caja de arena abusando de tres vulnerabilidades 0-day en el sistema operativo Windows.
  • Y un «kit de escalada de privilegios» compuesto de exploits n-day conocidos públicamente para versiones antiguas del sistema operativo Android.

Los cuatro días cero, todos los cuales fueron remendados en la primavera de 2020, fueron los siguientes:

  • CVE-2020-6418 – Vulnerabilidad al cromo en el TurboFan (fijo en febrero de 2020)
  • CVE-2020-0938 – Vulnerabilidad de la fuente en Windows (corregido en abril de 2020)
  • CVE-2020-1020 – Vulnerabilidad de la fuente en Windows (corregido en abril de 2020)
  • CVE-2020-1027 – Vulnerabilidad CSRSS de Windows (corregida en abril de 2020)

Google dijo que aunque no encontraron ninguna evidencia de exploits de día cero de Android alojados en los servidores de exploit, sus investigadores de seguridad creen que el actor de la amenaza probablemente también tenía acceso a Android de día cero, pero lo más probable es que no los estuviera alojando en los servidores cuando sus investigadores lo descubrieron.

Fuente: zdnet

Comments are closed.