ESET upozornil na dosud neznámou zranitelnost CVE-2024-9680 v produktech organizace Mozilla, kterou pro útoky využívá APT (Advanced Persistent Threat) skupina RomCom napojená na Rusko. Následující analýza pak odhalila další zranitelnost typu zero-day v operačním systému Windows. Skupina RomCom podporovaná Ruskem přitom útočila během letošního roku na Ukrajině, v Evropě (včetně ČR) i v USA.
Nebezpečné na této zranitelnosti je, že stačí, když navštívíte nebezpečné webové stránky. Pak není potřeba žádná další interakce, proto se útoku přezdívá útok zero-click. Poté dochází k instalaci backdooru (tzv. zádních vrátek) APT skupiny RomCom na váš počítač. Díky zadním vrátkům pak mohou útočníci provádět příkazy a stahovat další moduly do počítače oběti.
The first #vulnerability (#CVE-2024-9680) is a use-after-free bug in Firefox’s animation timeline. While iterating over animation objects, it’s possible to free them, resulting in manipulation of dangling pointers. check @DimitryFourny too - https://t.co/3GoaEGyemX 2/7 pic.twitter.com/tL3lFuqQ7A
— ESET Research (@ESETresearch) November 26, 2024
„Celý útok se skládá z vytvořené falešné webové stránky, která přesměruje potenciální oběť na server, který hostuje exploit, a pokud je exploit úspěšný, spustí se další škodlivý kód, který stáhne a spustí zadní vrátka skupiny RomCom. I když nevíme, jakým způsobem skupina distribuuje odkaz na falešnou webovou stránku, pokud oběť na stránku přistupuje pomocí zranitelného, neaktualizovaného prohlížeče, je na jejím počítači bez jakékoli další interakce spuštěn škodlivý kód,“ říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET. „Chtěli bychom poděkovat organizaci Mozilla za její velmi rychlou reakci, kdy vydala opravu zjištěné zranitelnosti během jednoho dne,“ dodává.
Zranitelnost CVE-2024-9680 přitom objevili analytici ESETu v prohlížeči Firefox už 8. října 2024. Mozilla ji pak bleskově opravila už 9. října 2024. Následující analýza však odhalila chybu eskalace oprávnění (privilege escalation bug) ve Windows. Jedná se o zranitelnost typu zero-day, která je nyní označena jako CVE-2024-49039. Umožňuje spouštění kódu mimo bezpečné prostředí sandboxu prohlížeče Firefox. Společnost Microsoft vydala opravu pro tuto druhou zranitelnost 12. listopadu 2024.
„APT skupina RomCom, která je známá také pod jmény Storm-0978, Tropical Scorpius nebo UNC2596, je uskupení kybernetických útočníků napojených na Rusko. Provádí jak příležitostné útočné kampaně proti vybraným obchodním cílům, tak specificky zaměřenou špionáž. Skupina přesunula svou pozornost na špionážní operace určené k získání zpravodajských informací a doplnila jimi tak své konvenčnější kyberzločinecké aktivity. V roce 2024 jsme objevili její operace proti vládním subjektům, obrannému a energetickému sektoru na Ukrajině, farmaceutickému a pojišťovacímu sektoru v USA, právnímu sektoru v Německu a vládním subjektům v Evropě. S ohledem na to, že v případě těchto útočných kampaní stačí, aby oběť navštívila škodlivý web a neměla aktualizovaný prohlížeč, jsou tyto útoky globálním rizikem a týkat se mohou i České republiky,“ vysvětluje Šuman z ESETu.
Zranitelnost CVE-2024-9680 objevená 8. října přitom umožňuje zranitelným verzím webového prohlížeče Firefox, poštovního klienta Thunderbird a prohlížeče Tor spouštět kód v omezeném kontextu prohlížeče. V kombinaci s dosud neznámou zranitelností CVE-2024-49039 ve Windows tak lze spustit libovolný kód v kontextu práv přihlášeného uživatele. Spojení těchto zranitelností tak umožnilo skupině RomCom použít exploit, škodlivý kód, který nevyžaduje žádnou interakci ze strany uživatelů. Před útoky se však můžete jednoduše bránit – udržovat vaše zařízení a aplikace aktualizovaná.
