Google Chrome の ゼロデイ脆弱性 CVE-2022-2294:Candiru スパイウェアが悪用

Chrome zero-day used to infect journalists with Candiru spyware

2022/07/21 BleepingComputer — イスラエルのスパイウェア・ベンダー Candiru が、Google Chrome のゼロデイ脆弱性を悪用していたことが判明した。彼らはスパイウェア DevilsTongue を用い、中東のジャーナリストや、彼らと利害関係のある人々に対してスパイ活動を行っていた。このヒープバッファ・オーバーフローの脆弱性 CVE-2022-2294 は、WebRTC に存在するものだ。悪用に成功した攻撃者が、ターゲット・デバイス上でコードを実行する可能性がある。Google は、2022年7月4日に、この脆弱性にゼロデイ・パッチを適用した際に、活発に悪用されていることを明らかにしていたが、それ以上の詳細は提供しなかった。

今日の未明に公開されたレポートの中で、Avast の脅威研究者たちは、Google のクライアントに対するスパイウェア攻撃の調査において、この脆弱性を発見し、Google に報告したと明かしている。

複数のキャンペーンと配信方法

Avast によると、Candiru は、2022年3月に CVE-2022-2294 を悪用し始め、レバノン/トルコ/イエメン/パレスチナのユーザーをターゲットにしていたようだ。

Candiru は、ターゲットが訪問する Web サイトを侵害し、ブラウザの未知の脆弱性を悪用してスパイウェアに感染させるという、一般的なウォータリング・ホール攻撃を採用していた。

この攻撃は、リンクのクリックや何かのダウンロードなどの、ユーザーとのインタラクションを必要としという、悪質かつ高度な技術をベースにしている。ターゲットが、Google Chrome などの Chromium ベースのブラウザを用いて、攻撃が仕掛けられたサイトを開くだけで感染する。

これらの Web サイトには、何らかの方法で侵害された正規の Web サイトの場合と、脅威者が作成した悪意のサイトの場合がある。後者では、スピア・フィッシングなどの方法で、宣伝と誘導が行われる。

あるケースでは、レバノンの報道機関が使用する Web サイトが攻撃者に侵害され、XXS (cross-site scripting) 攻撃を可能にする JavaScript スニペットが埋め込まれ、ターゲットをエクスプロイト・サーバーへと迂回させた。

Injected code to load JavaScript
リモートから JavaScript を読み込むコードを注入 (Avast)

このサーバーに到達したターゲットは、約 50のデータ・ポイントを用いて詳細にプロファイリングされた。そして、有効なターゲットであると判断された場合には、ゼロデイ・エクスプロイトを実行するための、暗号化されたデータの変換が実施された。

Avast はレポートで、「収集された情報には、被害者の言語/タイムゾーン/画面情報/デバイス・タイプ/ブラウザ・プラグイン/リファラー/デバイス・メモリ/クッキー機能などが含まれる」と説明している。

レバノンのケースでは、このゼロデイにより、レンダラー・プロセス内でのシェルコードが実行可能となった。さらに、Avast の分析では復元できなかった、サンドボックス・エスケープの脆弱性と連鎖していた。

この脆弱性は WebRTC に存在するため、Apple Safari にも影響を及ぼすが、Avast が発見したエクスプロイトは、Windows 上でのみ動作するものだった。

DevilsTongue は、最初の感染の後に、BYOVD (bring your own driver) ステップを使用して権限を昇格し、感染したデバイスのメモリへの読み取り/書き込みアクセスを取得した。

One of the vulnerable IOCTL handlers used in the BYOVD exploit
BYOVD エクスプロイトで使用される脆弱な IOCTL ハンドラの1つ (Avast)

興味深いことに、Avast は、Candiru が用いた BYOVD もゼロデイであることを発見した。ベンダーがセキュリティ・アップデートをプッシュしても、脆弱なバージョンがバンドルされているため、スパイウェアに対しては役に立たないことが判明している。

この攻撃者が狙っていたデータの種類は不明だが、Avast は、「攻撃者が何を狙っていたのか、確実なことは言えない。しかし攻撃者がジャーナリストを狙う理由は、多くの場合、ジャーナリストたちが取り組んでいる記事を直接にスパイするためだ。あるいは情報源にたどり着き、彼らが報道機関と共有している危険な情報や、機密データを収集するためである」と述べている。

止まらないスパイウェアの脅威

商用スパイウェアのベンダーは、クライアントの利害関係者を攻撃するため、ゼロデイ・エクスプロイトを開発/購入することで知られている。

以前に Candiru は、Microsoft/Citizen Lab に暴露されたときに、DevilsTongue の操作を全て撤回した。しかし、今回、Avast が明らかにしたように、新しいゼロデイを実装するために裏で手を回していたことになる。

残念ながら、同じことが繰り返されるだろう。たとえセキュリティ・アップデートを直ちに適用したとしても、商業スパイウェアと無縁になるわけではないことが示唆される。

この問題に対処するために、Apple は iOS 16 の新機能として、Lockdown Mode の導入を予定している。これはデバイスの機能や特徴を制限することで、機密データの漏洩を防ぎ、スパイウェア感染の影響を最小限に抑制するものとなる。

イスラエルのスパイウェアというと、2021年12月3日の「NSO Group が開発したスパイウェア:iPhone のハッキングと米高官に対する盗聴」と、2022年1月7日の「米国諜報機関からのアドバイス:スパイウェア攻撃を防ぐための TIPS」に、NSO Group と並んで Candiru が登場しています。これらのスパイウェアは、他国の政府などの団体に販売され、悪意の目的で使用されていると指摘されています。つい先日の 7月6日には「iOS/macOS に追加された Lockdown Mode:国家支援スパイウェアに対抗する最強の防御」という記事をポストしていますが、この領域での攻防も、かなりシリアスな状況になっているようです。