谷歌研究人员发现四个0day漏洞,它们被用作三个有针对性的恶意软件活动的一部分,这些活动利用了谷歌浏览器、Internet Explorer和WebKit中的未知缺陷。
谷歌发布了今年早些时候在野被利用的四个0day安全漏洞的新细节。谷歌的威胁分析小组(TAG)和零项目研究人员发现,这四个0day被用作三次有针对性的恶意软件活动的一部分,这些恶意软件利用了谷歌Chrome、Internet Explorer和WebKit(苹果Safari浏览器使用的浏览器引擎)之前未知的缺陷。
谷歌的研究人员还指出,2021年是野外零日攻击特别活跃的一年。到目前为止,今年共有33个零日攻击漏洞被公开披露,比2020年的总数多出11个。
谷歌将零日漏洞数量的上升部分归因于加大漏洞检测力度和披露工作,但表示与2010 年代初相比,这一上升也是由于销售零日漏洞访问权限的商业供应商激增。
谷歌在一篇博客文章中表示:“0day能力过去只是一些特定国家的工具,这些国家拥有找0day漏洞的技术专长,并将其开发成漏洞利用,然后战略性地实施它们的使用。” “在 2010年代中后期,越来越多的私营公司加入了销售这些0day功能的市场。团队不再需要技术专长,现在他们只需要资源。TAG在2021年发现的四个0day 中有三个属于这一类:由商业供应商开发并出售给政府支持的机构并由其使用。”
谷歌发现的0day漏洞包括Safari中的CVE-2021-1879漏洞,Chrome中的CVE-2021-21166漏洞和CVE-2021-30551漏洞,IE中的CVE-2021-33742漏洞。
在Safari 0day攻击活动中,黑客使用 LinkedIn Messaging 瞄准西欧国家的政府官员,发送恶意链接,将目标定向到攻击者控制的域。如果目标从iOS设备点击链接,受感染的网站将通过0day攻击发起攻击。
谷歌TAG的研究人员称,这个漏洞会关闭同源策略保护,以收集来自谷歌、微软、LinkedIn、Facebook和雅虎等几个流行网站的认证cookie,并通过WebSocket将它们发送到攻击者控制的IP上。”受害者需要通过Safari在这些网站上打开一个会话,才能成功窃取cookie。
谷歌研究人员表示,攻击者利用这个0day锁定运行旧版本iOS(12.4到13.7)的iOS设备。苹果公司在3月26日通过iOS更新发布了一个补丁。
这两个Chrome漏洞是渲染器远程代码执行0day漏洞,并被认为是一个攻击者使用。这两个0day都针对Windows上最新版本的Chrome,并以一次性链接的形式通过电子邮件发送给目标。当目标点击链接时,他们被发送到攻击者控制的域,同时他们的设备被采集指纹,攻击者用这些信息来确定是否实施攻击。谷歌表示,所有目标都在亚美尼亚。
对于Internet Explorer漏洞,谷歌表示,其研究人员发现了一项针对亚美尼亚用户的活动,他们使用恶意的Office文档在浏览器中加载网页内容。谷歌分析称,这里描述的Chrome和Internet Explorer漏洞可能是由向全球客户提供监控功能的同一家供应商开发和销售的。”
谷歌还发布了四个0day的根本原因分析:
CVE-2021-1879:QuickTimePluginReplacement 中的 Use-After-Free
CVE-2021-21166:音频中的 Chrome 对象生命周期问题
CVE-2021-30551:V8 中的 Chrome 类型混淆
CVE-2021-33742:Internet Explorer 越界写入 MSHTML
应用软件中的系统安全漏洞为网络犯罪分子打开了大门。有数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。因此,确保网络安全不能一味依赖网络防火墙或杀毒软件,更应该先确认软件是否存在安全漏洞。尤其随着互联网的发展,各种功能强大样式新颖的应用软件快速出现,在软件开发过程中有必要通过源代码安全检测、开源组件检查及黑盒漏洞扫描等安全自动化测试与分析,及时发现应用软件中存在的缺陷并改正,以降低软件自身存在的漏洞,提高网络安全性。
参读链接:
https://www.woocoom.com/b021.html?id=6ec965803ef1427a8b3d94af10013fc0
https://securityaffairs.co/wordpress/120116/apt/zero-day-russia-apt.html
来源:freebuf.com 2021-07-16 10:17:37 by: 中科天齐软件安全中心
请登录后发表评论
注册