Google legt vergaande hack-actie bloot in Chrome, Windows en Android

Abonneer je gratis op Techzine!

Een mix van Android, Chrome en Windows is het recept voor een nieuwe hack-actie. Hackers maken gebruik van een combinatie van kwetsbaarheden in die software en besturingssystemen om kwaad aan te richten.

Google ontdekte deze hack-operatie al begin 2020, toen het opviel dat gebruikers van Android-apparaten en Windows-apparaten het doelwit waren. Google schrijft: “We hebben twee exploit-servers ontdekt die verschillende exploit chains leveren via watering hole-aanvallen. De ene server was gericht op Windows-gebruikers, de andere op Android. Zowel de Windows- als de Android-servers gebruikten Chrome-exploits voor de eerste uitvoering van externe code.”

Zero day-exploits

De exploits voor Chrome en Windows zijn zero day’s. “Voor Android maakten de exploit chains gebruik van openbaar bekende n-day exploits. Op basis van de verfijning van de actor denken we dat het waarschijnlijk is dat ze toegang hadden tot Android zero days, maar we hebben er geen een ontdekt in onze analyse.“ De slachtoffers hadden door deze hacks grote problemen: hackers konden een exploit in het besturingssysteem zetten en daardoor de controle overnemen van een apparaat.

Dit stond er op de exploitservers:

  • Vier “renderer” -bugs in Google Chrome, waarvan er één nog geen dag was op het moment van ontdekking.
  • Twee sandbox-escapes die misbruik maken van drie 0-day-kwetsbaarheden in het Windows-besturingssysteem.
  • Een “privilege-escalatiekit” bestaande uit publiekelijk bekende n-day exploits voor oudere versies van het Android-besturingssysteem.

Chrome, Android en Windows gehackt

De zero-days zijn in de lente van 2020 van een patch voorzien en staan bekend onder de volgende namen:

CVE-2020-6418 – Chrome Vulnerability in TurboFan (gefixt in februari 2020)
CVE-2020-0938 – Font Vulnerability on Windows (gefixt in april 2020)
CVE-2020-1020 – Font Vulnerability on Windows (gefixt in april 2020)
CVE-2020-1027 – Windows CSRSS Vulnerability (gefixt in april 2020)

Hoewel dat goed nieuws is, is dit duidelijk wel een hacker of hackersgroep waarvoor we moeten oppassen. Zo schrijft Google: “Het is goed ontworpen, complexe code met een verscheidenheid aan nieuwe exploitatiemethoden, logboekregistratie, geavanceerde en berekenende technieken, plus grote hoeveelheden anti-analyse- en targetingcontroles.” Google meent dat het experts moeten zijn geweest, die dit bij elkaar hebben kunnen puzzelen.