O especialista francês em segurança cibernética Julien Voisin relatou que no início de fevereiro 2021, alguém carregou exploits para a vulnerabilidade Spectre no VirusTotal. Esta é a primeira vez que um “combate” exploração para este problema tornou-se publicamente disponível.
Como um lembrete, a edição original do Spectre foi descoberto em 2018 junto com o bug Meltdown. Essas falhas fundamentais na arquitetura dos processadores modernos facilitam a quebra do isolamento do espaço de endereço, ler senhas, chaves de criptografia, números de cartão bancário, dados arbitrários do sistema e de outros aplicativos do usuário, ignorando quaisquer medidas de segurança e em qualquer sistema operacional.
Na verdade, três anos atrás, esses problemas forçaram os fabricantes de processadores a repensar sua abordagem ao design de CPU, deixando claro que eles não devem se concentrar apenas no desempenho em detrimento da segurança.
Logo após a descoberta de Meltdown e Spectre, especialistas em segurança da informação percebido que os autores de malware estavam experimentando ativamente essas vulnerabilidades, e vestígios desta atividade puderam ser encontrados na rede, e no VirusTotal em particular. Felizmente, finalmente os pesquisadores não encontraram nenhuma evidência de exploração de ambas as vulnerabilidades.
Agora, de acordo com Voisin, a situação mudou. Ele escreve que descobriu explorações novas e diferentes para Spectre – um para Windows e um para Linux.
Voisin também sugere que entendeu quem poderia estar por trás da criação de exploits. De acordo com ele, atribuição neste caso é muito trivial, e os leitores do blog poderão adivinhar tudo sozinhos.
Como resultado, especialistas em segurança cibernética no Twitter e HackerNews conduziram suas próprias análises e rapidamente descoberto que o novo exploit Spectre poderia ser um módulo para a ferramenta de pentesting CANVAS desenvolvida pela Immunity Inc. O ex-chefe de imunidade Dave Eitel parece estar insinuando o mesmo no Twitter, observando que a empresa anunciou o módulo em fevereiro 2018.
Além disso, uma fonte anônima confirmou ao The Record que uma versão hackeada do Immunity CANVAS v7.26 foi publicada recentemente no fórum hacker RAID junto com cópias crackeadas de White Phosphorus e D2 (dois pacotes de extensão para CANVAS contendo conjuntos de explorações para várias vulnerabilidades). Entre essas vulnerabilidades estava a exploração do problema CVE-2017-5715, que se chama Espectro.
Sabe-se que versões hackeadas deste kit de ferramentas foram distribuídas em canais privados do Telegram desde pelo menos outubro 2020. Aparentemente, eles foram a fonte das explorações enviadas ao VirusTotal no mês passado.
Deixe-me lembrá-lo que falei sobre o fato de que para vulnerabilidade RECON apareceu exploração PoC.