En exploitant les vulnérabilités «jour zéro» de Chrome et Safari, les cybercriminels ont pu diffuser plus d’un milliard d’annonces malveillantes aux utilisateurs en moins de deux mois.
Les attaquants ont ciblé à la fois les utilisateurs iOS et macOS en exploitant des vulnérabilités «zero day» connues (qui ont depuis été corrigées) pour injecter du code d'exploitation qui redirige les utilisateurs vulnérables vers des sites malveillants, selon la firme de sécurité Confiant.
EGobbler, acteur de la menace, a exploité une vulnérabilité «zéro jour» dans Webkit, le moteur de navigateur utilisé dans Safari et Blink, le fork de Webkit utilisé dans Chrome, pour générer des redirections efficaces.
La vulnérabilité, suivie en tant que CVE-2019-8771, existait dans une fonction JavaScript qui apparaît chaque fois qu'un utilisateur appuie sur une touche de son clavier. En exploitant cette vulnérabilité, eGobbler a pu permettre aux annonces liées associées à des balises HTML appelées iframes de s'affranchir des protections de sandbox de sécurité qui empêchent un utilisateur d'être redirigé à son insu.
Sommaire
Annonces malveillantes
Eliya Stein, chercheuse et ingénieure chez Confiant, a expliqué comment cette vulnérabilité fonctionnait dans un blog:
«La nature du bogue est qu’une iframe imbriquée d’origine croisée est capable de« mettre au point automatiquement », ce qui contourne la directive de sandbox« allow-top-navigation-by-user-activation »sur le cadre parent. Lorsque le cadre interne est automatiquement activé, l'événement keydown devient un événement de navigation activé par l'utilisateur, ce qui rend la mise en sandbox publicitaire complètement inutile en tant que mesure d'atténuation de la redirection forcée. "
Après avoir découvert la dernière campagne d'eGobbler, Confiant a présenté ses conclusions aux équipes de sécurité de Google et d'Apple. La vulnérabilité a été corrigée dans Chrome avec la version iOS 13 et un correctif pour Safari est arrivé peu de temps après avec la publication de Safari 13.0.1.
eGobbler a lancé des campagnes similaires dans le passé et au début de l'année, l'une de ses campagnes avait diffusé environ 500 millions de publicités malveillantes en exploitant une vulnérabilité similaire dans la version iOS de Chrome. La dernière campagne de l'acteur Menace visait à attirer les utilisateurs européens vers des pages de phishing basées sur leur fournisseur de téléphonie mobile.
Via Ars Technica