Google revela que falha de dia zero no Safari foi usada em ataques ao LinkedIn
Por Felipe Gugelmin | Editado por Claudio Yuge | 15 de Julho de 2021 às 15h30
Conhecidas por seu grande potencial destrutivo, falhas de dia zero — aquelas que ainda não foram descobertas ou corrigidas por desenvolvedores — podem estar presentes em qualquer software, incluindo navegadores da Internet. O Threat Analysis Group (TAG) do Google divulgou na última quarta-feira (14) que encontrou em 2021 problemas do tipo no Internet Explorer, Chrome e Safari, cujas falhas foram usadas em uma campanha de ataques contra o LinkedIn.
- Atualização do Windows corrige brecha PrintNightmare e 117 vulnerabilidades
- Apenas 4% das pequenas e médias empresas já estão preparadas para a LGPD
- Segurança tradicional já não consegue conter ameaças em crescente adesão à nuvem
A falha no Safari (CVE-2021-1879) foi usada para enviar links maliciosos a agentes governamentais de países da Europa Oriental através da rede social antes de ela ser descoberta por pesquisadores e corrigida pela Apple. “Caso o alvo visitasse o link através de um dispositivo iOS, ele seria redirecionado a um domínio controlado pelo atacante que oferecia o próximo nível de payloads”, explica o texto assinado por Maddie Stone e Clement Lecigne.
Segundo a empresa, três dos problemas encontrados podem ser associados a uma companhia de vigilância comercial que os criou e vendeu para ao menos dois agentes ligados a governos. A análise mostra que, até a metade de 2021, já foram registradas 33 falhas de dia zero — 11 a mais do que todo o ano de 2020. Os pesquisadores afirmam que isso é resultado tanto de um número crescente de ameaças, quanto de esforços para melhorar a detecção e correção desses problemas.
Falhas no Chrome e Internet Explorer
As falhas do Chrome, identificadas pelos códigos CVE-2021-21166 e CVE-2021-30551 foram exploradas em mensagens de e-mail destinadas a alvos na Armenia. Os links enviados pelos atacantes redirecionavam a uma página que coletava dados do alvo, gerando chaves ECDH que criptografavam o material roubado, que era enviado de volta aos criminosos.
Entre as informações coletadas estavam detalhes sobre a resolução de tela, o fuso horário, os plugins instalados no navegador e os tipos de MIME disponíveis. A partir disso, os atacantes determinavam se deviam prosseguir ou não com as etapas seguintes de suas ações. A vulnerabilidade CVE-2021-21166 também podia afetar o WebKit do Safari, e tanto o Google quanto a Apple já corrigiram os problemas apontados.
A brecha do Internet Explorer (identificada como CVE-2021-33742) foi identificada em abril deste ano e também visava alvos armênios. Usando um documento do Office disfarçado, o ataque carregava uma página no navegador que funcionava de forma semelhante às brechas do Chrome e coletava dados que podiam ser usados para acionar uma etapa posterior do ataque — alertada sobre o problema, a Microsoft o corrigiu em junho.
Aumento nas detecções é algo positivo
Segundo Stone e Lecigne, o aumento de ataques de dia zero registrado na última década é algo que deve ser encarado de forma positiva. Isso reflete uma maior preocupação com segurança e a eficiência de especialistas na área, que tem sido rápidos em fechar brechas conhecidas.
No entanto, a tendência também traz preocupações, visto que brechas do tipo estão sendo exploradas tanto por governos quanto por companhias privadas que vendem a agentes externos métodos de explorá-las.
“Grupos não precisam mais de conhecimento técnico, agora eles só precisam de recursos. Três das quatro vulnerabilidades dia-0 que o TAG descobriu em 2021 caem nessa categoria: desenvolvidas por provedores comerciais e vendidas e usadas por atores financiados por governos”, explicam os pesquisadores.
A conclusão geral é positiva, e reforça a necessidade de destinar recursos para a descoberta e resolução de problemas do tipo. Isso deve levar a um aumento natural no número de brechas de dia zero que são descobertas, ajudando especialistas de segurança a lidarem com um problema que muitas vezes age de forma invisível.
Fonte: Google Threat Analysis Group