image

Chrome, Firefox en Windows Defender doelwit Spaanse spywareleverancier

woensdag 30 november 2022, 16:50 door Redactie, 6 reacties
Laatst bijgewerkt: 30-11-2022, 18:19

Een Spaanse spywareleverancier maakt gebruik van kwetsbaarheden in Google Chrome, Mozilla Firefox en Windows Defender om zowel Linux- als Windowscomputers te infecteren, zo stelt Google. Firefox-gebruikers zouden mogelijk sinds 2019 zijn aangevallen via een zerodaylek waarvoor Mozilla in maart van dit jaar een beveiligingsupdate uitbracht.

Het bedrijf heet Variston en ontwikkelde volgens Google drie exploitatie-frameworks voor het op afstand besmetten van systemen met spyware. Google kwam de spywareleverancier op het spoor dankzij drie anonieme bugmeldingen. Voor de aanval op Windows Defender maakt het framework van Variston gebruik van een remote code execution kwetsbaarheid (CVE-2021-42298) waarvoor Microsoft vorig jaar een update uitbracht. Bij de aanval wordt een pdf-bestand verstuurd die een exploit bevat. Zodra Microsofts virusscanner het bestand scant raakt het systeem geïnfecteerd.

Voor de aanval op gebruikers van Google Chrome en Mozilla Firefox moeten slachtoffers eerst een malafide website bezoeken. De hierbij gebruikte kwetsbaarheid in Firefox (CVE-2022-26485) werd in maart van dit jaar via een noodpatch door Mozilla verholpen. Destijds meldde de browserontwikkelaar dat gebruikers via het zerodaylek waren aangevallen. Variston gebruikt de kwetsbaarheid zowel voor aanvallen tegen Linux- als Windowscomputers.

De derde kwetsbaarheid, gebruikt voor aanvallen op gebruikers van Google Chrome, werd in augustus 2021 gepatcht. Google heeft dit beveiligingslek geen CVE-nummer gegeven omdat het de kwetsbaarheid zelf ontdekte. Vermoedelijk zijn ook de beveiligingslekken in Chrome en Defender als zeroday gebruikt. Volgens Google laat het onderzoek naar Variston zien dat commerciële spywareleveranciers tegenwoordig over mogelijkheden beschikken die voorheen alleen aan overheden met veel geld en technische expertise waren voorbehouden.

Reacties (6)
30-11-2022, 17:37 door Anoniem
ja hoe zat dat ook alweer de gewone burger was niet interessant voor hackers hoe noemen we dit dan ?
30-11-2022, 17:42 door Anoniem
Linux Android? ook daar word niet info gedeeld
30-11-2022, 18:06 door Anoniem
Door Anoniem: ja hoe zat dat ook alweer de gewone burger was niet interessant voor hackers hoe noemen we dit dan ?
Gaat gewoon op in de bulk!
30-11-2022, 18:48 door Anoniem
Zwak dat Defender zich tijdens het scannen laat beetnemen door een PDF bestand.
Ben wel benieuwd hoe dit PDF bestand op de pc terechtkomt.
30-11-2022, 20:18 door Anoniem
Ja, en dan lees je met enige regelmaat op dit forum dat mensen hun Firefox niet willen updaten.
Die lopen dus nu gevaar.
01-12-2022, 04:20 door Anoniem
Tja AV parsers zijn een geliefd doelwit. Ze moeten veel formaten ondersteunen dat er vaak wel ergens iets fout gaat. Als bonus heb je dan vaak ook geen privilege escalation meer nodig.

Voor de liefhebbers is er wel een boek op Amazon te vinden over AV bug hunting. Al wat ouder dus sommige issues spelen niet meer maar zeker interessant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.