El mes pasado varios equipos de expertos en ciberseguridad descubrieron un conjunto de vulnerabilidades de impacto alto que afectaban a Google Chrome, Android, Windows e iOS. Según los informes hechos públicos se encontraron varios bugs en bibliotecas de fuentes, además de otros que habían sido utilizados para escapar de la sandbox (entorno de pruebas) de Chrome y un tercer grupo de fallos que fue usado para tomar el control de todo el sistema operativo de dispositivos.
Ben Hawkes, responsable de Google Project Zero (el equipo de hackers encargado de encontrar vulnerabilidades en todo tipo de software) anunció en Twitter que el grupo había encontrado siete vulnerabilidades en total. Poco después, Google revelaba el primer error de la serie: CVE-2020-15999. Se trata de un fallo en FreeType, un software de renderizado de fuentes de código abierto, que se sabe que fue utilizado para hackear dispositivos vía Chrome.
El pasado 30 de octubre un primer error (CVE-2020-17087) ya había sido hecho público en Internet. En ese caso era un error de Windows que permitió a hackers acceder a privilegios de sistema, lo que significa que un intruso podría pasar de tener el control de una aplicación a tomar el control de todo el sistema de la víctima. Posteriormente Hawkes escribió en Twitter que Project Zero también había encontrado otros dos exploits zero day en Chrome y Android -llamados CVE-2020-16009 y CVE-2020-16010- que habían sido activamente utilizados por hackers sin identificar.
En concreto el primero de ellos fue usado para una “ejecución remota de código”, una técnica en la que los intrusos toman el control total de una aplicación o sistema. Sólo tres días después, Hawkes anunció que Apple había corregido tres errores críticos en iOS que les había notificado: dos de ellos en el kernel, la parte del sistema operativo que tiene acceso a casi todo lo que sucede en el teléfono, y uno de ellos de error de fuente, parecido al problema de FreeType de Google.
Posible uso en espionaje
Shane Huntley, jefe del Grupo de Análisis de Amenazas de Google, amplió la información afirmando que los bugs fueron usados para “una explotación selectiva similar a la de los otros 0days recientemente identificados”. Huntley y su equipo rastrean a los hackers por toda la Red, el año pasado, hallaron una serie de vulnerabilidades de día cero que estaban siendo utilizadas por servicios de espionaje, en concreto por hackers en la órbita del gobierno chino, para monitorizar a la comunidad Uighur. Ahora los especialistas creen que las nuevas vulnerabilidades están, de alguna manera, relacionadas con las anteriores, lo que apuntaría a los mismos hackers probablemente vinculados con agencias de inteligencia.
A menudo los analistas de seguridad encuentran errores en los nuevos programas informáticos y los divulgan para dar a los fabricantes la posibilidad de corregirlos antes de que sean explotados para piratear a los usuarios. En este caso, sin embargo, sabemos que los bugs fueron utilizados para operaciones de hackeo antes de conocerse el problema. Google ha reconocido que las brechas fueron “explotadas activamente”, sin embargo no ha trascendido cómo los expertos de la compañía han podido identificar estas transgresiones a posteriori.
El problema también afecta a dispositivos de Apple y Microsoft. Según Vice una actualización de iOS 12 (con dos años de antigüedad) parcheó recientemente el problema en sistemas que se remontan a los iPhone 5 y iPhone 6, aunque la compañía fundada por Steve Jobs ha guardado silencio sobre el tema. Microsoft, por su parte, ha declarado haber publicado actualizaciones de seguridad en noviembre dirigidas al fallo CVE-2020-17087. Los clientes que han aplicado las actualizaciones o tienen habilitadas las actualizaciones automáticas están protegidos, según la compañía, que también afirmó que, en lo que concierne a sus dispositivos, no ha visto ninguna prueba de explotación maliciosa de estos fallos.