Objavili zero-day a zero-click zraniteľnosti Mozilly a Windows
Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť CVE-2024-9680 v produktoch Mozilla, zneužívanú v reálnom prostredí APT skupinou RomCom napojenou na Rusko. Ďalšia analýza odhalila druhú zero-day zraniteľnosť v systéme Windows: chybu zvyšovania oprávnení, ktorej je priradené označenie CVE-2024-49039.
Ak si obeť prezerá webovú stránku obsahujúcu exploit, útočník môže spustiť ľubovoľný kód bez nutnosti interakcie používateľa (zero-click útok), čo v tomto prípade viedlo k inštalácii backdooru skupinou RomCom do počítača obete. Backdoor používaný skupinou je schopný vykonávať príkazy a sťahovať ďalšie moduly do počítača obete.
Kritická zraniteľnosť súvisiaca s Mozillou, ktorú ESET objavil 8. októbra, má CVSS skóre 9,8 na stupnici od 0 do 10. V roku 2024 skupina RomCom zasiahla Ukrajinu a ďalšie európske krajiny, ako aj Spojené štáty.
Podľa telemetrie spoločnosti ESET sa od 10. októbra 2024 do 4. novembra 2024 potenciálne obete, ktoré navštívili webové stránky hostiace exploit, nachádzali prevažne v Európe a Severnej Amerike.
Chyby opravili len nedávno
Spoločnosť Mozilla zraniteľnosť opravila 9. októbra 2024. Zraniteľnosť v systéme Windows sa týkala chyby zvýšenia oprávnení, ktorej je teraz priradené označenie CVE 2024 49039. Táto zraniteľnosť umožňuje spustenie kódu mimo sandboxu prehliadača Firefox. Spoločnosť Microsoft vydala opravu tejto druhej zraniteľnosti 12. novembra 2024.
Zraniteľnosť CVE-2024-9680 objavená 8. októbra umožňuje zraniteľným verziám prehliadačov Firefox, Thunderbird a Tor Browser vykonávať kód v obmedzenom kontexte prehliadača. V spojení s predtým neznámou zraniteľnosťou v systéme Windows, CVE-2024-49039, ktorá má skóre CVSS 8,8, je možné spustiť ľubovoľný kód v kontexte prihláseného používateľa.
Útočníci mali prístup ku mocnej zbrani
Spojenie dvoch zero-day zraniteľností vyzbrojilo RomCom exploitom, ktorý nevyžaduje interakciu používateľa. Táto úroveň sofistikovanosti dokazuje zámer a prostriedky tohto aktéra na získanie alebo vývoj nepozorovaných schopností. Úspešné pokusy o zneužitie navyše doručili v rámci operácie, ktorá vyzerá ako rozsiahla kampaň.
„RomCom (známa aj pod názvami Storm-0978, Tropical Scorpius alebo UNC2596) je skupina napojená na Rusko, ktorá vedie kampane proti vybraným obchodným odvetviam a cielené špionážne operácie. Skupina sa zameriava na špionážne operácie zamerané na zhromažďovanie spravodajských informácií, ktoré prebiehajú paralelne s jej konvenčnejšími operáciami v oblasti počítačovej kriminality,“ uvádza ESET.
