¿Cómo se puede explotar?
La Sra. Wong dijo que la ejecución de código arbitrario se ha utilizado en el pasado para robar datos, ejecutar esquemas de extorsión e incluso exponer mensajes de texto privados e historial de búsqueda.
“Además, algunos de los errores más graves permitirían a un atacante ejecutar código malicioso en el contexto del usuario”, dijo.
«La gravedad del ataque depende de los privilegios asociados con el usuario, ya sea que tenga la autoridad para instalar nuevos programas, ver, cambiar o eliminar datos, o crear nuevas cuentas de usuario».
Un pirata informático también puede enviar un mensaje de correo electrónico de phishing o un archivo adjunto con un enlace incrustado a un sitio web que utiliza Intents, dijo la Sra. Jennifer Cheng, directora de marketing de productos, Asia-Pacífico y Japón en Proofpoint.
Luego, si la persona que recibe ese correo electrónico hace clic en el enlace al sitio web usando un navegador Chrome, el atacante puede conectarse al sitio usando otra aplicación web maliciosa y exponer a la persona a contenido malicioso.
«Las posibles repercusiones de la exposición a contenido malicioso podrían incluir el redireccionamiento a otro sitio malicioso, la inyección de código malicioso (malware), el robo de datos o credenciales de inicio de sesión», agregó.
¿El error ya está siendo explotado?
Google dijo que dos miembros de su Grupo de análisis de amenazas informaron por primera vez CVE-2022-2856 el 19 de julio y que está al tanto de un exploit existente en la naturaleza. Esto significa que la empresa sabe, posiblemente a través de la telemetría de Chrome, que se ha explotado la vulnerabilidad.
«Probablemente conocen el sitio que hizo eso y pueden conocer a los usuarios que han sido atacados», dijo Candid Wuest, vicepresidente de investigación de protección cibernética de Acronis.
«Dependiendo de la ejecución, el ataque en sí podría ser bastante sigiloso. Google no ha revelado más detalles sobre el atacante o sus objetivos en este momento».
CNA entiende que CSA no ha recibido ningún informe de usuarios que hayan sido pirateados a través de esta vulnerabilidad.
El cofundador y presidente de tecnología de Acronis, Stas Protassov, dijo que «es razonable asumir» que la vulnerabilidad ha sido explotada por piratas informáticos respaldados por el estado, señalando la participación del Grupo de análisis de amenazas de Google.
El grupo se enfoca en contrarrestar a los atacantes con muchos recursos, como los grupos de amenazas persistentes avanzados del gobierno, dijo, y agregó que Google generalmente revela más detalles sobre las vulnerabilidades 90 días después del informe.
«Entonces sabremos más resultados en octubre, a menos que Google decida hacerlo antes», dijo.
¿Qué hará el parche de seguridad?
La Sra. Cheng dijo que el parche de seguridad de Google evitará que los atacantes exploten la función Intents para conectarse o inyectar contenido malicioso en sitios web que la admitan.
«Lo más probable es que el parche actualice la validación de la entrada del usuario para bloquear la explotación de esta vulnerabilidad», dijo el director de seguridad de la información de Acronis, Kevin Reed.
La Sra. Cheng dijo que aquellos que eligen no instalar el parche están «tirando los dados» y dejándose expuestos a contenido malicioso y eventualmente comprometidos.
Si bien la Sra. Wong estuvo de acuerdo en que aquellos que no actualizan su navegador en teoría estarían expuestos a tales peligros, dijo que es difícil predecir un resultado exacto sin los detalles completos de la vulnerabilidad.
¿Qué tan común es esta vulnerabilidad?
Hace años, las vulnerabilidades de los navegadores web se consideraban bastante comunes y se encontraban entre las favoritas de los piratas informáticos, dijo Cheng.
«En estos días, este tipo de día cero es mucho menos común», dijo, usando un término para describir los errores sin parche descubiertos antes de que los desarrolladores se dieran cuenta de ellos.
«Nos gusta pensar que los desarrolladores están más preocupados por la seguridad ahora en sus prácticas de desarrollo».
Sin embargo, la Sra. Wong dijo que es «prácticamente imposible» escribir un código impecable ya que el error humano es inevitable.
«El imperativo para las organizaciones radica, por lo tanto, en identificar tales vulnerabilidades lo más rápido posible y actuar con decisión», dijo.
Wuest dijo que es «bueno» notar que CVE-2022-2856 es el quinto día cero que Google parcheó en Chrome este año.
La primera vulnerabilidad reportada en febrero fue explotada por piratas informáticos norcoreanos en campañas de phishing, informó Bleeping Computer.
«Las amenazas que ‘existen en la naturaleza’ se refieren a las amenazas que se propagan entre los dispositivos que pertenecen a los usuarios comunes, en lugar de los sistemas de prueba», dijo la Sra. Wong.
«Esta es una amenaza crítica, que amenaza significativamente la seguridad de los datos en el mundo real, cuando los piratas informáticos la explotan».