RomCom: Firefox és a Windows zeroday kihasználás
Az ESET Research egy korábban ismeretlen sebezhetőséget elemzett a Mozilla termékeiben, amelyet már kihasználtak, valamint egy másik, korábban ismeretlen Microsoft Windows sebezhetőséget, amelyeket egy “zero-click” (felhasználói beavatkozást nem igénylő) kihasználási láncban kombináltak.
A RomCom nevű, Oroszországhoz köthető kiberbűnözői csoport két nulladik napi sebezhetőséget kihasználva hajtott végre támadásokat a Mozilla Firefox és a Microsoft Windows rendszerek ellen. Ezek a támadások lehetővé tették a csoport számára, hogy felhasználói beavatkozás nélkül, úgynevezett “zero-click” módszerrel hajtsanak végre kódfuttatást az áldozatok rendszerein, elsősorban Európában és Észak-Amerikában.
CVE-2024-9680: Ez a kritikus, 9,8-as CVSS pontszámú sebezhetőség a Firefox animációs idővonal funkciójában található “use-after-free” hiba, amely lehetővé teszi a támadók számára, hogy kódot futtassanak a böngésző korlátozott környezetében. A Mozilla 2024. október 9-én adta ki a javítást erre a hibára.
CVE-2024-49039: Ez a magas, 8,8-as CVSS pontszámú jogosultságkiterjesztési sebezhetőség a Windows Feladatütemező szolgáltatásában található, és lehetővé teszi a támadók számára, hogy kódot futtassanak a Firefox sandbox környezetén kívül. A Microsoft 2024. november 12-én adta ki a javítást erre a hibára.
A támadók egy hamis weboldalt hoztak létre, amely átirányította a látogatókat egy olyan szerverre, amely tartalmazta a kihasználó kódot. Amikor egy áldozat meglátogatta ezt az oldalt egy sebezhető Firefox vagy Tor Browser verzióval, a sebezhetőségek kihasználásra kerültek, és a RomCom backdoor települt a rendszerre. Ez a backdoor lehetővé tette a támadók számára további parancsok végrehajtását és modulok letöltését az áldozat gépére.
Érintett a Firefox 131.0.2 előtti verziói, a Tor Browser 13.5.7 előtti verziói, valamint a Windows Feladatütemező szolgáltatásának sebezhetősége.