Google Chrome: Zero-Day-Schwachstelle lässt gezielte Attacken befürchten

Avast bringt Schwachstelle mit Candiru in Verbindung

[datensicherheit.de, 25.07.2022] Am 22. Juli 2022 wurden mehrere Meldungen veröffentlicht, wonach eine sogenannte Zero-Day-Schwachstelle in „Google Chrome“ (und möglicherweise auch „Edge“ und „Safari“), ausgenutzt werden kann – und konkret auch wurde, um Journalisten im Nahen Osten anzugreifen. Das Sicherheitsunternehmen Avast habe diese Schwachstelle mit „Candiru“ in Verbindung gebracht. „Candiru“ habe in der Vergangenheit bereits zuvor unbekannte Schwachstellen ausgenutzt, um eine „Windows“-Malware namens „DevilsTongue“ zu installieren.

Schwachstelle über verschlüsselten Kanal gezielt an Rechner des Opfers übertragen

Mithilfe einer „Watering Hole“-Technik werde ein Profil des Browsers des Opfers erstellt, welches unter anderem Details wie Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins, Referrer und Gerätespeicher enthalte.
Avast habe festgestellt, dass diese Informationen gesammelt worden seien, „um sicherzustellen, dass der ,Exploit‘ nur an die beabsichtigten Ziele übermittelt wird“.
Sollten die gesammelten Daten von den Hackern als wertvoll erachtet werden, werde der „Zero-Day Exploit“ über einen verschlüsselten Kanal an den Rechner des Opfers übertragen.

Entdeckte Schwachstellen definitiv ernstzunehmen

James Sebree, „Senior Staff Research Engineer“ bei Tenable, geht in seinem aktuellen Kommentar auf diese neuen Schwachstellen ein:
„Die hier entdeckten Schwachstellen sind definitiv ernstzunehmen, vor allem, weil sie so weitreichend sind, was die Anzahl der betroffenen Produkte angeht.“ Betroffen seien die meisten modernen Desktop-Browser, mobile Browser und alle anderen Produkte, „die anfällige WebRTC-Komponenten verwenden“.
Sebree warnt: „Bei erfolgreicher Ausnutzung könnte ein Angreifer seinen eigenen Schadcode auf dem Computer eines bestimmten Opfers ausführen und Malware installieren, das Opfer ausspionieren, Informationen stehlen oder eine beliebige andere kriminelle Aktion ausführen.“

Angriffe auf Basis dieser Schwachstelle offensichtlich sehr gezielt

Es sei jedoch „unwahrscheinlich, dass wir allgemeine oder öffentliche ,Exploits‘ für diese Schwachstelle sehen werden“.
Bei der Hauptschwachstelle „CVE-2022-2294“ handele es sich um einen „Heap Overflow“, welcher aufgrund der Sicherheitsfunktionen der meisten modernen Betriebssysteme in der Regel nur schwer ausgenutzt werden könne.
Alle Angriffe, welche diese Schwachstelle ausnutzen, seien offensichtlich sehr gezielt. Sebrees Fazit: „Es ist zwar unwahrscheinlich, dass es zu allgemeinen Angriffen kommt, die diese Schwachstelle ausnutzen, aber die Wahrscheinlichkeit ist nicht gleich null, und Unternehmen müssen entsprechende Patches bereitstellen.“

Weitere Informationen zum Thema:

ars TECHNICA, Dan Goodin, 21.07.2022
CANDIRU — 0-day used to infect Chrome users could pose threat to Edge and Safari users, too / After lying low, exploit seller Candiru rears its ugly head once more

DECODED avast.io, Jan Vojtěšek, 21.07.2022
The Return of Candiru: Zero-days in the Middle East