Cryptobeurs Coinbase was afgelopen maandag het doelwit van een aanval waarbij twee zerodaylekken in Firefox werden gebruikt. Voor één van deze kwetsbaarheden verscheen dinsdag een noodpatch. Daarnaast zijn mogelijk meerdere organisaties door de aanvaller aangevallen.

Dat heeft Coinbase chief information security officer Philip Martin via Twitter bekendgemaakt. Volgens Martin wist Coinbase de aanval te detecteren en blokkeren, waarna de malware en infrastructuur van de aanvaller werd geanalyseerd. Dit leidde tot de ontdekking van de Firefox-zerodays. De aanval was gericht tegen medewerkers en zou niet tegen Coinbase-klanten zijn ingezet.

Via het tweede zerodaylek in Firefox kon de aanvaller uit de sandbox van de browser breken. Net als andere browsers beschikt Firefox over een sandbox die gebruikers extra bescherming moet bieden. Een aanvaller heeft in dit geval twee kwetsbaarheden nodig om zijn kwaadaardige code op het systeem van de gebruiker uit te kunnen voeren. Eén kwetsbaarheid voor het uitvoeren van de code en één voor het ontsnappen uit de sandbox.

Coinbase werkt nu samen met andere partijen om de infrastructuur van de aanvaller uit te schakelen en meer informatie over hem te achterhalen. Daarnaast is Coinbase bezig om andere organisaties te informeren die volgens de cryptobeurs ook het doelwit van de aanvaller waren. Welke organisaties dit zijn is niet bekendgemaakt. Ook is het onbekend wanneer Mozilla met een update voor het tweede zerodaylek komt. Het gaat hier om een "sandbox escape", wat inhoudt dat het lek alleen niet voldoende is om gebruikers te compromitteren.