黑客利用 Windows 和 Android 的零日漏洞發起攻擊
Google Project Zero研究人員發現了一個針對Windows和Android用戶的復雜黑客活動。
Google Project Zero團隊最近發起了一項倡議,旨在設計新的技術來檢測攻擊中使用的零日漏洞。在與谷歌威脅分析小組(TAG)合作時,專家們在2020年第一季度發現了一起由一名非常老練的黑客實施的watering hole攻擊。
零日項目專家發現該活動針對Windows和Android系統。攻擊背后的威脅行為者利用了Android,Windows中的多個漏洞,并將它們與Chrome漏洞聯系在一起。攻擊者既利用了zero-days 漏洞, 也利用了 n-days 漏洞。
*“我們發現了兩個漏洞利用服務器,它們通過watering hole攻擊提供了不同的漏洞利用鏈。一臺服務器針對Windows用戶,另一臺針對Android。Windows和Android服務器都使用Chrome漏洞利用程序來執行初始遠程代碼。” 讀取零日項目發布的分析。“ Chrome和Windows的漏洞包括zero-days。對于Android,漏洞鏈使用了眾所周知的 n-days 漏洞。根據這名演員的黑客,我們認為他們很有可能可以使用Android zero-days,但我們在分析中沒有發現任何情況。“
這些攻擊利用了兩個漏洞利用服務器,它們在watering hole攻擊中通過不同的漏洞利用鏈觸發了多個漏洞,
兩臺服務器都托管了漏洞,以觸發Google Chrome漏洞,從而在訪問者的設備上獲得了立足之地。攻擊者利用Windows和Android漏洞來接管受害者的設備。
專家們能夠從漏洞利用服務器中提取以下代碼:
- Renderer利用Chrome中的四個bug,其中一個在發現之時仍為zero-days。
- Windows中的兩個沙盒逃避漏洞濫用了三個zero-days漏洞。
- 一個“特權升級工具包”,其中包含針對較舊版本的Android的眾所周知的 n-days 漏洞。
攻擊者使用的鎖鏈包括以下0天漏洞:
- CVE-2020-6418 – TurboFan中的Chrome漏洞(于2020年2月修復)
- CVE-2020-0938 – Windows上的字體漏洞(2020年4月修復)
- CVE-2020-1020 – Windows上的字體漏洞(2020年4月修復)
- CVE-2020-1027 – Windows CSRSS漏洞(2020年4月修復)
零項目團隊花了許多個月的時間詳細分析了此活動中使用的攻擊鏈的每個部分,他們在6個單獨的報告中詳細介紹了他們的發現:
- 簡介(本貼)
- Chrome:無限錯誤
- Chrome漏洞
- Android漏洞
- Android開發后
- Windows漏洞
Google強調了該活動的復雜程度,威脅參與者的資源似乎充足,整體操作精心設計。
Google總結道:“它們是精心設計的,復雜的代碼,具有多種新穎的利用方法,成熟的日志記錄,復雜且經過計算的利用后技術以及大量的反分析和目標檢查。”
“我們相信專家團隊已經設計并開發了這些漏洞利用鏈,”
