谷歌的研究人員周三表示，他們發(fā)現(xiàn)一家總部位于西班牙巴塞羅那的IT公司居然銷售利用Chrome、Firefox和Windows Defender中漏洞的高級軟件框架。

Variston IT自稱專門提供定制的信息安全解決方案，包括嵌入式監(jiān)控和數(shù)據(jù)采集（SCADA）及物聯(lián)網(wǎng)集成技術(shù)、面向?qū)Ｓ邢到y(tǒng)的定制安全補(bǔ)丁、數(shù)據(jù)發(fā)現(xiàn)工具、安全培訓(xùn)以及嵌入式設(shè)備安全協(xié)議的開發(fā)。據(jù)谷歌威脅分析小組的一份報告顯示，Variston還銷售其官網(wǎng)上沒有提及的另一種產(chǎn)品：軟件框架，為客戶提供在他們想要監(jiān)視的設(shè)備上偷偷安裝惡意軟件所需的一切。

兩位研究人員Clement Lecigne和Benoit Sevens表示，這些漏洞框架被用來利用n-day漏洞：這種漏洞是最近才打上補(bǔ)丁的，一些受害者目標(biāo)尚未安裝它們。他們倆補(bǔ)充道，有證據(jù)表明，如果漏洞是零日（0-day）漏洞，這些框架也被使用了。研究人員公布發(fā)現(xiàn)結(jié)果是為了阻撓間諜軟件市場。間諜軟件市場在蓬勃發(fā)展，對各個群體構(gòu)成了威脅。

他們倆寫道，TAG的研究著重表明，商業(yè)監(jiān)視行業(yè)在蓬勃發(fā)展，近年來取得了長足的發(fā)展，給全球互聯(lián)網(wǎng)用戶帶來了風(fēng)險。商業(yè)間諜軟件將高級監(jiān)視能力交到了政府的手上，政府利用它們監(jiān)視新聞記者、人權(quán)活動人士、政治反對派和持不同意見者。

研究人員進(jìn)而對框架進(jìn)行分類，他們通過谷歌的Chrome漏洞報告計劃從一個匿名來源收到了這些框架。每個框架附有指導(dǎo)說明和含有源代碼的壓縮包。這些框架被命名為Heliconia Noise、Heliconia Soft和Files。這些框架分別含有能夠針對Chrome、Windows Defender和Firefox部署漏洞利用工具的成熟源代碼。

Heliconia Noise框架中所含的代碼用于在二進(jìn)制文件被框架生成之前清理這些文件，以確保文件不含有可能使開發(fā)者受到牽連的字符串。正如清理腳本的圖像所示，惡意字符串列表中包括“Variston”。

Variston的工作人員沒有回復(fù)本文尋求置評的電子郵件。

這些框架利用了谷歌、微軟和Firefox在2021年和2022年已修復(fù)的漏洞。Heliconia Noise含有針對Chrome渲染器的漏洞利用工具，以及用于逃逸Chrome安全沙箱的漏洞利用工具，安全沙箱旨在將不可靠的代碼存放在一個受保護(hù)的環(huán)境中，無法訪問操作系統(tǒng)的敏感部分。由于漏洞是在內(nèi)部發(fā)現(xiàn)的，所以沒有CVE編號。

客戶可以對Heliconia Noise進(jìn)行配置，以設(shè)置一些參數(shù)，比如投放漏洞利用工具的最長時間、到期失效日期以及指定何時將訪客視為有效目標(biāo)的規(guī)則。

Heliconia Soft含有一個設(shè)有陷阱的PDF文件，該文件利用了CVE-2021-42298，微軟Defender Malware Protection的JavaScript引擎中的這個漏洞已于2021年11月修復(fù)。只要將該文件發(fā)給某人，就足以在其Windows上獲得覬覦的系統(tǒng)特權(quán)，因?yàn)閃indows Defender可自動掃描發(fā)來的文件。

Files框架含有針對在Windows和Linux上運(yùn)行的Firefox的一條記錄完備的漏洞利用工具鏈。它利用了CVE-2022-26485，這是Firefox在3月份修復(fù)的一個釋放后使用的漏洞。研究人員表示，F(xiàn)iles可能至少從2019年開始就在利用這個代碼執(zhí)行漏洞，遠(yuǎn)早于該漏洞廣為人知或打上補(bǔ)丁。它適用于Firefox版本64到68。Files依賴的沙箱逃逸漏洞在2019年已被修復(fù)。

研究人員聲稱漏洞利用工具市場已日益失控。他們寫道：

TAG的研究表明了商業(yè)監(jiān)視現(xiàn)象急劇蔓延，以及商業(yè)間諜軟件開發(fā)商能夠開發(fā)出高級功能，而以前只有擁有雄厚財力和技術(shù)專長的政府才能獲得這些功能。間諜軟件行業(yè)的發(fā)展將用戶置于險境之中，并使互聯(lián)網(wǎng)變得不太安全。盡管監(jiān)視技術(shù)按照國家或國際法律可能是合法的，但它們常常被用于歪道，針對一系列群體實(shí)行數(shù)字間諜活動。這些濫用行為對網(wǎng)絡(luò)安全構(gòu)成了重大風(fēng)險，這就是為什么谷歌和TAG將繼續(xù)針對商業(yè)間諜軟件行業(yè)采取行動，并發(fā)表相關(guān)的研究結(jié)果。

Variston加入了其他漏洞利用工具賣家的行列，包括NSO Group、Hacking Team、Accuvant和Candiru。

本文翻譯自：https://arstechnica.com/information-technology/2022/11/google-ties-spanish-it-firm-to-0-days-exploiting-chrome-defender-and-firefox/