APT-атака комбинирует Zero-day и Zero-click в браузерах Firefox и Tor

Исследователи ESET обнаружили ранее неизвестную уязвимость в продуктах Mozilla, которая использовалась в реальных атаках. Это уже второй случай выявления подобных инцидентов: ранее уязвимость CVE-2023-36884 в Microsoft Word была также использована злоумышленниками для атак.

Новая уязвимость, получившая идентификатор CVE-2024-9680 и оценку CVSS 9.8, позволяет выполнить произвольный код в ограниченном контексте браузера Firefox, Thunderbird и Tor Browser. Сочетание с другой уязвимостью в Windows (CVE-2024-49039, CVSS 8.8) позволяет выйти за пределы песочницы браузера и выполнять код с правами текущего пользователя. Для успешной атаки достаточно, чтобы пользователь посетил вредоносную страницу, после чего вредоносное ПО автоматически загружается и запускается.

Обнаружение уязвимости произошло 8 октября 2024 года. Анализ показал, что уязвимость в Mozilla связана с ошибкой типа use-after-free в анимации, что позволило выполнить код. Уже 9 октября Mozilla выпустила обновления безопасности, устранившие проблему. Дополнительно был выявлен баг повышения привилегий в Windows Task Scheduler, который позволял выйти из песочницы браузера. Microsoft выпустила исправление этой уязвимости 12 ноября.

Эксплуатация уязвимостей включала использование фейковых сайтов, перенаправляющих жертв на серверы с эксплойтами. После успешной атаки на устройства загружался вредоносный бэкдор, позволяющий выполнять команды и загружать дополнительные модули.

По данным анализа, в октябре-ноябре 2024 года атаки были направлены на пользователей в Европе и Северной Америке. Эксплойт, использующий уязвимость CVE-2024-9680, работал в браузерах Firefox и Tor, а также в почтовом клиенте Thunderbird. Песочница этих приложений преодолевалась благодаря уязвимости в Windows.

Для защиты пользователей Mozilla выпустила обновления для всех поддерживаемых версий своих продуктов. Версии с исправлениями включают Firefox 131.0.2, Thunderbird 115.16 и Tor Browser 13.5.7.

Атака демонстрирует высокий уровень подготовки и возможности злоумышленников, использующих комбинацию двух неизвестных уязвимостей для обхода стандартных средств защиты. Быстрота реакции разработчиков и выпуск исправлений в кратчайшие сроки стали ключевым фактором снижения угрозы.