谷歌Project Zero研究人员发现,神秘黑客组织在2020年的攻击活动中使用了11个0 day攻击目标包括安卓,iOS 和Windows 用户。
概述
2020年10月,谷歌Project Zero研究人员发现有7个0 day在野外使用漏洞。这些漏洞是通过水坑攻击传播的,其中两个通过服务器保存安卓Windows和iOS 设备漏洞利用链。这些攻击似乎是2020年2月发现的下一轮更新。
研究人员首先发现了服务器链接的第二个漏洞。IP 地址和用户 *** 分析初始指纹后,有iframe 在指向两个漏洞漏洞使用服务器的网站。
在测试过程中,研究人员发现服务器存在于所有发现的域名中。
服务器1:
一开始只有响应iOS和Windows 用户 *** ;
研究人员在从服务器下载漏洞利用时服务器仍然活跃;
在CVE-2020-15999 漏洞修复后,用新的v8 0 day漏洞(CVE-2020-16009)来替换;
Android用户 *** 也在漏洞使用服务器2下线后做出响应。
服务器2:
响应安卓用户 *** ;
服务器从服务器下载漏洞后仍活跃约36小时;
与漏洞使用服务器1相比,服务器响应IP 地址范围较小。
上图显示了连接到感染网站的设备的过程。设备将被重定向到服务器1或服务器2的漏洞。然后根据设备和浏览器传输以下漏洞:
混淆和反分析检查用于所有平台,但每个平台的混淆是不同的。iOS 是唯一使用临时密钥的(ephemeral key)加密,即漏洞利用不能在抓包的情况下恢复,而是需要中间人才能实现漏洞利用的重写。
这些漏洞的使用使研究人员相信漏洞服务器1和漏洞服务器2背后的实体是不同的,但它们相互合作。服务器使用了两个漏洞Chrome Freetype RCE (CVE-2020-15999)漏洞,但漏洞使用的代码不同。因此,研究人员认为这是两个不同的操作员。
7个0 攻击者使用day漏洞如下:
- CVE-2020-15999 - Chrome Freetype堆积存溢漏;
- CVE-2020-17087 - Windows cng.sys堆积存溢出漏洞;
- CVE-2020-16009 - TurboFan map deprecation中的Chrome type confusion
- CVE-2020-16010 – Chrome安卓版堆缓存溢出漏洞
- CVE-2020-27930 - Safari 任意栈读写漏洞
- CVE-2020-27950 - iOS XNU kernel 内存泄漏漏洞
- CVE-2020-27932 - iOS kernel type confusion with turnstiles
总结
Project Zero 研究人员发现,攻击者在2020年的攻击活动中使用了多个0 day漏洞利用链和7个0 day利用漏洞。在2020年早期的攻击活动中,攻击者在一年内至少使用了11个0 day漏洞利用。
本文翻译自:https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html若转载,请注明原文地址。