Η ομάδα κυβερνοεγκλήματος RomCom με έδρα τη Ρωσία χρησιμοποίησε δύο ευπάθειες zero-day σε πρόσφατες επιθέσεις με στόχο χρήστες του Firefox και του Tor Browser σε όλη την Ευρώπη και τη Βόρεια Αμερική.
Το πρώτο ελάττωμα (CVE-2024-9680) είναι ένα use-after-free bug στη λειτουργία timeline animation του Firefox που επιτρέπει την εκτέλεση κώδικα στο sandbox του προγράμματος περιήγησης ιστού. Η Mozilla επιδιόρθωσε αυτή την ευπάθεια στις 9 Οκτωβρίου 2024, μία ημέρα μετά την αναφορά της από την ESET.
Η δεύτερη ευπάθεια που αξιοποιείται σε αυτή την εκστρατεία είναι ένα σφάλμα κλιμάκωσης προνομίων (CVE-2024-49039) στην υπηρεσία Windows Task Scheduler, που επιτρέπει στους επιτιθέμενους να εκτελούν κώδικα εκτός του sandbox του Firefox. Η Microsoft αντιμετώπισε αυτή την ευπάθεια ασφαλείας νωρίτερα αυτό το μήνα, στις 12 Νοεμβρίου.
Η RomCom έκανε κατάχρηση των δύο ευπαθειών ως chained zero=day exploit, η οποία τους βοήθησε να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα χωρίς να απαιτείται αλληλεπίδραση του χρήστη. Οι στόχοι τους αρκούσε να επισκεφθούν έναν ελεγχόμενο από επιτιθέμενους και κακόβουλα διαμορφωμένο ιστότοπο, ο οποίος κατέβαζε και εκτελούσε το backdoor της RomCom στο σύστημά τους.
«Η αλυσίδα παραβίασης αποτελείται από έναν ψεύτικο ιστότοπο που ανακατευθύνει το πιθανό θύμα στον διακομιστή που φιλοξενεί το exploit, και αν το exploit πετύχει, εκτελείται shellcode που κατεβάζει και εκτελεί το backdoor RomCom», δήλωσε ο ερευνητής της ESET Damien Schaeffer.
«Αν και δεν γνωρίζουμε πώς διανέμεται ο σύνδεσμος προς την ψεύτικη ιστοσελίδα, ωστόσο, αν η σελίδα επιτευχθεί χρησιμοποιώντας ένα ευάλωτο πρόγραμμα περιήγησης, ένα ωφέλιμο φορτίο απορρίπτεται και εκτελείται στον υπολογιστή του θύματος χωρίς να απαιτείται αλληλεπίδραση του χρήστη».
Μόλις αναπτυχθεί στη συσκευή του θύματος, το κακόβουλο αυτό λογισμικό επέτρεψε στους επιτιθέμενους να εκτελέσουν εντολές και να αναπτύξουν πρόσθετα ωφέλιμα φορτία.
«Η αλυσιδωτή σύνδεση δύο ευπαθειών μηδενικής ημέρας όπλισε το RomCom με ένα exploit που δεν απαιτεί καμία αλληλεπίδραση με τον χρήστη. Αυτό το επίπεδο πολυπλοκότητας δείχνει τη θέληση και τα μέσα των απειλών να αποκτήσουν ή να αναπτύξουν μυστικές δυνατότητες», πρόσθεσε η ESET.
Επιπλέον, ο αριθμός των επιτυχημένων προσπαθειών εκμετάλλευσης σε αυτές τις επιθέσεις που κατέληξαν με την ανάπτυξη του backdoor RomCom στις συσκευές των θυμάτων οδήγησε την ESET να πιστέψει ότι πρόκειται για μια ευρέως διαδεδομένη εκστρατεία.
Πηγή : Bleeping Computer
Εμφάνιση 1-4 από 4
-
27-11-24, 12:18 Εκμετάλλευση δύο 0-day των Firefox και Windows, από τους Ρώσους RomCom #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.318
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
27-11-24, 14:30 Απάντηση: Εκμετάλλευση δύο 0-day των Firefox και Windows, από τους Ρώσους RomCom #2
CVE-2024-9680: Use-after-free in Animation timeline
Mozilla Foundation Security Advisory 2024-51
Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
Announced October 9, 2024
Impact critical
Products Firefox, Firefox ESR
Fixed in
Firefox 131.0.2
Firefox ESR 115.16.1
Firefox ESR 128.3.1
-
28-11-24, 12:03 Απάντηση: Εκμετάλλευση δύο 0-day των Firefox και Windows, από τους Ρώσους RomCom #3
Την διάβασα και εγώ αυτή την είδηση αυτές τις μέρες.
Δεν καταλαβαίνω γιατί δόθηκε στην δημοσιότητα, μιας και έχει επιδιορθωθεί και από τους δύο αναφερόμενους.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
02-12-24, 13:09 Απάντηση: Εκμετάλλευση δύο 0-day των Firefox και Windows, από τους Ρώσους RomCom #4
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Bookmarks