Google revela que falha de dia zero no Safari foi usada em ataques ao LinkedIn

Conhecidas por seu grande potencial destrutivo, falhas de dia zero — aquelas que ainda não foram descobertas ou corrigidas por desenvolvedores — podem estar presentes em qualquer software, incluindo navegadores da Internet. O Threat Analysis Group (TAG) do Google divulgou na última quarta-feira (14) que encontrou em 2021 problemas do tipo no Internet Explorer, Chrome e Safari, cujas falhas foram usadas em uma campanha de ataques contra o LinkedIn.

• Atualização do Windows corrige brecha PrintNightmare e 117 vulnerabilidades
• Apenas 4% das pequenas e médias empresas já estão preparadas para a LGPD
• Segurança tradicional já não consegue conter ameaças em crescente adesão à nuvem

A falha no Safari (CVE-2021-1879) foi usada para enviar links maliciosos a agentes governamentais de países da Europa Oriental através da rede social antes de ela ser descoberta por pesquisadores e corrigida pela Apple. “Caso o alvo visitasse o link através de um dispositivo iOS, ele seria redirecionado a um domínio controlado pelo atacante que oferecia o próximo nível de payloads”, explica o texto assinado por Maddie Stone e Clement Lecigne.

Segundo a empresa, três dos problemas encontrados podem ser associados a uma companhia de vigilância comercial que os criou e vendeu para ao menos dois agentes ligados a governos. A análise mostra que, até a metade de 2021, já foram registradas 33 falhas de dia zero — 11 a mais do que todo o ano de 2020. Os pesquisadores afirmam que isso é resultado tanto de um número crescente de ameaças, quanto de esforços para melhorar a detecção e correção desses problemas.

Falhas no Chrome e Internet Explorer

As falhas do Chrome, identificadas pelos códigos CVE-2021-21166 e CVE-2021-30551 foram exploradas em mensagens de e-mail destinadas a alvos na Armenia. Os links enviados pelos atacantes redirecionavam a uma página que coletava dados do alvo, gerando chaves ECDH que criptografavam o material roubado, que era enviado de volta aos criminosos.

Entre as informações coletadas estavam detalhes sobre a resolução de tela, o fuso horário, os plugins instalados no navegador e os tipos de MIME disponíveis. A partir disso, os atacantes determinavam se deviam prosseguir ou não com as etapas seguintes de suas ações. A vulnerabilidade CVE-2021-21166 também podia afetar o WebKit do Safari, e tanto o Google quanto a Apple já corrigiram os problemas apontados.

A brecha do Internet Explorer (identificada como CVE-2021-33742) foi identificada em abril deste ano e também visava alvos armênios. Usando um documento do Office disfarçado, o ataque carregava uma página no navegador que funcionava de forma semelhante às brechas do Chrome e coletava dados que podiam ser usados para acionar uma etapa posterior do ataque — alertada sobre o problema, a Microsoft o corrigiu em junho.

Aumento nas detecções é algo positivo

Segundo Stone e Lecigne, o aumento de ataques de dia zero registrado na última década é algo que deve ser encarado de forma positiva. Isso reflete uma maior preocupação com segurança e a eficiência de especialistas na área, que tem sido rápidos em fechar brechas conhecidas.

No entanto, a tendência também traz preocupações, visto que brechas do tipo estão sendo exploradas tanto por governos quanto por companhias privadas que vendem a agentes externos métodos de explorá-las.

“Grupos não precisam mais de conhecimento técnico, agora eles só precisam de recursos. Três das quatro vulnerabilidades dia-0 que o TAG descobriu em 2021 caem nessa categoria: desenvolvidas por provedores comerciais e vendidas e usadas por atores financiados por governos”, explicam os pesquisadores.

A conclusão geral é positiva, e reforça a necessidade de destinar recursos para a descoberta e resolução de problemas do tipo. Isso deve levar a um aumento natural no número de brechas de dia zero que são descobertas, ajudando especialistas de segurança a lidarem com um problema que muitas vezes age de forma invisível.

Fonte: Google Threat Analysis Group