• 谷歌安全最新披露4个已遭在野利用的零日漏洞,其中前三个疑似由某漏洞经纪人多次售卖,第四个被用于攻击西欧国家;

  • 据谷歌安全统计,2021年上半年,全球公开披露有33个零日漏洞被用于网络攻击,比2020年全年总数还多了11个;

  • 虽然公开披露被在野利用的零日漏洞数量大量增加,但谷歌安全团队认为,更多的检测和披露工作也促成了这种上升趋势。

7月14日消息,谷歌安全团队发布新博客,就今年网络攻击活动中出现的四个零日漏洞进行了技术细节披露,并提醒已经有黑客利用这些漏洞向部分用户发动高度针对性攻击。

谷歌表示,以下几个零日漏洞已被用于攻击Chrome、IE以及iOS浏览器Safari的用户:

  • CVE-2021-21166、CVE-2021-30551 :针对Chrome;

  • CVE-2021-33742:针对IE;

  • CVE-2021-1879 :针对WebKit (Safari)。

前三个零日漏洞源自同一漏洞“经纪人”

其中,前三个Chrome和IE的零日漏洞由一家商业监控公司开发,该公司将相应利用代码出售给两批由不同政府支持的攻击者

但谷歌没有透露这家漏洞“经纪人”的具体名称,也没有提到到底是哪两个攻击团伙实际使用到这些零日漏洞。

谷歌只提到,这三个零日漏洞均被用于发动针对亚美尼亚人的攻击

例如,谷歌提到Chrome零日漏洞CVE-2021-21166、CVE-2021-30551就被用于通过邮件向目标个人发送一次性链接,模仿合法网站引诱对方点击。

当目标点击该链接后,将被重新定向至相应网页。该网页会对受害者的设备进行指纹识别,收集关于客户端的系统信息并生成ECDH密钥以供使用,而后再将此数据发送回恶意服务器。在指纹收集阶段获取的信息包括设备屏幕分辨率、时区、语言、浏览器插件以及可爱我所爱MIME类型等。攻击者会结合收集到的信息,判断是否对目标发动入侵。

谷歌安全团队

谷歌还提到,研究人员先是意识到至少需要两份正确的配置信息才能支持一次有效入侵,之后才发现这两个零日漏洞。

在渲染引擎被零日漏洞破坏之后,就会执行一个中间阶段以收集关于受感染设备的细节信息,具体包括操作系统build版本、CPU、固件与BIOS信息等。这可能是为了检测虚拟机并向目标发动定制化沙箱逃逸攻击。但在我们的环境中,并没有收到任何超出此阶段之外的实际恶意载荷。

谷歌安全团队

谷歌安全团队还表示,由于存在部分共享代码库,CVE-2021-21166也会给Safari浏览器上的WebKit引擎造成影响。为此,他们将问题上报给苹果,苹果则立即将问题核定为CVE-2021-1844并加以修复。

谷歌TAG团队指出,“目前还没有任何证据表明这个漏洞被用于攻击Safari用户。”

至于被追踪为CVE-2021-33742的IE零日漏洞也已经在上个月由微软完成修复,谷歌表示此漏洞同样曾被用于攻击亚美尼亚目标。

这一次,攻击载体是带有恶意Office文档的电子邮件,这些文档会通过IE的可嵌入组件将Web内容加载至Office当中。

与两个Chrome零日漏洞一样,攻击者同样选择在第二阶段的有效载荷部署之前引入了指纹识别阶段。

根据这两起攻击活动之间的超高相似度,谷歌TAG团队得出结论,认为这些零日漏洞很可能出自同一漏洞“经纪人”之手。

Safari零日漏洞通过LinkedIn传播

第四个零日漏洞(CVE-2021-1879)位于iOS WebKit。谷歌检测到,这个漏洞已经在攻击中实际使用。

谷歌将这些攻击归因于“疑似俄罗斯政府支持的攻击方”,对方通过LinkedIn Messenger发起攻击。

谷歌表示,这批俄罗斯攻击者曾使用LinkedIn向西欧国家的政府官员发送包含恶意链接的消息。

如果目标通过iOS设备上的Safari/WebKit浏览器打开链接,则此零日漏洞将禁用同源策略保护,从“包括谷歌、微软、LinkedIn、Facebook及Yahoo等多个流行网站收集身份验证cookie,并通过WebSockt将数据发送至攻击者控制的IP处。”

此漏洞主要影响使用iOS 12.4至13.7版本的用户。谷歌还提到,微软及Volexity在今年春季发现的其他攻击中也发现了使用同一CVE-2021-1879漏洞的行为。这些攻击归因于名为Nobelium(APT29)的攻击团伙,白宫官员称该团伙与俄罗斯对外情报局(SVR)有关。

为什么零日漏洞攻击披露越来越多了?

据谷歌安全统计,2021年上半年,全球公开披露有33个零日漏洞被用于网络攻击,比2020年全年总数多了11个

虽然公开披露被在野利用的零日漏洞数量大量增加,但谷歌安全团队认为,更多的检测和披露工作也促成了这种上升趋势

在野利用的零日漏洞数量与被检测到并披露的零日漏洞数量之间,并不存在一对一的关系。零日漏洞背后的攻击者通常希望,攻击保持隐蔽和未知,因为这就是他们最有用的方式。

有多种因素可能会导致被披露在野零日漏洞数量的上升。

一方面,是各方检测和披露越来越多,比如苹果今年就开始披露漏洞是否遭在野利用,研究人员也变得更多;另一方面,为了提高利用成功率,基于平台安全成熟度提升、移动平台的增加、漏洞经纪人增多、安全防护水平的提升等原因,攻击者也可能使用更多的零日漏洞。

参考来源:therecord.media、blog.google

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。