Les exploits de type « zero day » font partie des failles de sécurité les plus redoutées sur les navigateurs comme Google Chrome, principalement parce que les institutions qui s’efforcent de les corriger sont déjà très en retard.
Il n’est pas rare que le nom de Google apparaisse dans ce type d’exploitation, il a des pouces dans chaque tarte après tout : la société a comptabilisé 58 exploits en 2021, ce qui représente une augmentation de plus de deux fois par rapport à l’année précédente, bien que la société attribue ce nombre plus élevé à une meilleure détection.
Eh bien, nous pouvons officiellement compter un autre exploit pour 2022 de Google, car les chercheurs divulguent maintenant un nouvel exploit qui a été entre les mains du distributeur israélien de logiciels espions, Candiru (également connu sous le nom de Saito Tech), naviguant un trou dans le logiciel espion DevilsTongue sur le navigateur Chrome pour suivre illégalement des journalistes à travers le Moyen-Orient.
Bien que Google ait corrigé la vulnérabilité identifiée comme CVE-2022-2294 le 4 juillet avec la version stable de Chrome v103.0.5060.114, elle constitue toujours une menace active pour les utilisateurs qui n’ont pas mis à jour leur navigateur.
Avast rapporte que la vulnérabilité a été signalée à Google dès sa découverte le 1er juillet, suite à des plaintes de certains de ses partenaires. Google n’a pas précisé le mode de fonctionnement de la vulnérabilité pour des raisons de sécurité mais a précisé qu’elle était en cours d’exploitation active.
Avast affirme que Candiru a commencé à exploiter la vulnérabilité 2294 en mars de cette année. Il a principalement ciblé des journalistes et des personnes très en vue au Liban, en Palestine, en Turquie et au Yémen.
Le fait que cet exploit ait été découvert dans WebRTC le rend encore plus dangereux. Pour que l’attaque réussisse, il suffit que la victime ouvre le site Web affecté, qui peut être soit une page créée par les attaquants à cette fin, soit un site Web réputé qui a été compromis.
C’est ce qui s’est produit lorsque des attaquants ont infiltré le site d’une agence de presse libanaise et inséré des extraits de JavaScript pour mettre en œuvre des attaques de type « cross-site scripting » tout en redirigeant les visiteurs vers un serveur infecté.
Ceux qui y sont parvenus ont vu les données sensibles de leur navigateur détournées, avec pas moins de 50 points de données, dont le fuseau horaire, la langue, le type d’appareil, la mémoire de l’appareil, les cookies, les plugins de navigateur, etc. Après avoir évalué la faisabilité de la cible, les attaquants lançaient l’échange de données chiffrées, ce qui permettait d’exploiter la 0-Day.
Avast indique que le logiciel espion DevilsTongue utilise un exploit BYOVD (Bring Your Own Vulnerable Driver) après la première séquence. Cela permet aux attaquants d’obtenir un accès en lecture/écriture à la mémoire de l’appareil cible. Cela dit, cette étape constitue également un point de contrôle pour les victimes potentielles afin d’empêcher l’attaque d’aller plus loin.
En raison de la nature de l’exploit, même le navigateur Safari d’Apple n’était pas à l’abri. L’équipe d’Avast a toutefois précisé qu’elle n’avait constaté ce problème que sur Windows.
Les chercheurs n’ont pas pu déterminer le motif de l’attaque spécifique contre le site d’information libanais, mais il est clair que les clients de Candiru voulaient savoir ce que les journalistes de la région rapportaient ou vérifier ce qu’ils recherchaient pour un article à venir. Une attaque réussie de cette nature contre des journalistes pourrait également démasquer leurs sources confidentielles ou leurs informateurs, mettant potentiellement leur vie en danger.