Gli exploit zero-day sono alcune delle vulnerabilità di sicurezza più temute, soprattutto perché le istituzioni che lavorano per correggerle sono già molto indietro rispetto alla curva. Non è raro che il nome di Google venga fuori in un tale exploit (soprattutto insieme a Chrome), visto che ha le mani in pasta un po’ dappertutto: l’azienda ha rappresentato 58 degli exploit scoperti 2021, a significare un aumento di oltre due volte scoperto l’anno prima, sebbene l’azienda attribuisca il numero più alto per una migliore rilevazione.
Ora però possiamo ufficialmente conteggiarne un altro per il 2022 di Google, poiché è stato scoperto un nuovo exploit che è stato nelle mani del distributore di spyware israeliano, Candiru (noto anche come Saito Tech), che ha approfittato attraverso lo spyware DevilsTongue sul browser Chrome per prendere di mira i giornalisti in tutto il Medio Oriente.
Sebbene Google abbia corretto la vulnerabilità identificata come CVE-2022-2294 il 4 luglio con la versione stabile di Chrome v103.0.5060.114, rappresenta ancora una minaccia attiva per gli utenti che non hanno aggiornato i propri browser (non solo Chrome ma tutti quelli basati su Chromium, come Edge, Brave e Bromite).
Avast segnala che la vulnerabilità è stata segnalata a Google al momento della sua scoperta il 1° luglio a seguito di reclami di alcuni dei suoi partner. Google non ha specificato come funziona la vulnerabilità per motivi di sicurezza, ma ha chiarito che sta venendo sfruttata attivamente.
Avast afferma che Candiru ha iniziato a sfruttare la vulnerabilità 2294 nel marzo di quest’anno. Ha preso di mira principalmente giornalisti e individui di alto profilo in Libano, Palestina, Turchia e Yemen.
Il fatto che questo exploit sia stato trovato in WebRTC è ciò che lo rende ancora più pericoloso. Tutto ciò che serve perché l’attacco abbia successo è che la vittima apra il sito Web interessato, che potrebbe essere una pagina creata dagli aggressori allo scopo o un sito Web affidabile che è stato compromesso.
Quest’ultimo è stato il caso in cui gli aggressori si sono infiltrati nel sito di un’agenzia di stampa libanese e hanno inserito snippet JavaScript per implementare attacchi di scripting cross-site mentre reindirizzavano i visitatori a un server infetto. Coloro che sono arrivati lì hanno subito il furto di dati sensibili basati su browser, tra cui fuso orario, lingua, tipo di dispositivo, memoria del dispositivo, cookie, plug-in del browser e così via.
Ad ogni modo, consigliamo a tutti coloro utilizzano Google Chrome o un qualsiasi browser basato su Chromium di aggiornarlo immediatamente.
