Google安全研究人员发现俄罗斯黑客锁定欧洲LinkedIn用户下手,如果他们也用iOS设备的话。
Google威胁分析小组研究人员Maddie Stone及Clement Lecigne 5月间发现,Safari的WebKit引擎存在编号CVE-2021-1879的安全漏洞。一个疑似俄罗斯政府支持的黑客组织利用LinkedIn Messaging,向欧洲国家政府官员发送恶意连接。如果他们从iOS设备点入,就会被导向攻击者控制的域名以送出次阶段的攻击程序。研究人员判断,这波攻击和5月间锁定Windows设备用户送出Cobalt Strike的攻击相同。
Google分析,在多阶段下载后,最后的攻击程序会开采iOS设备上Safari的CVE-2021-1879。这会导致Safari的同源政策(Same-Origin-Policy)防护被关闭,而导致跨域名取得其他合法网站的信息。同源政策要求浏览器下载和被访问的图片、视频及程序代码都必须来自同一域名,以防止跨域攻击。但在Safari同源政策被关闭后,黑客得以搜集Google、Yahoo、LinkedIn、脸书及微软网站的验证cookies,并通过WebSocket发送到外部攻击者控制的IP Address。
所幸受害者必须刚好以Safari连向这些网站,黑客才能成功窃取cookies。研究人员也没发现攻击导致沙箱逃逸(sandbox escape)或植入什么嵌入程序。这项漏洞属于中度风险。
5月的这波攻击锁定12.4到13.7版iOS,以及相应的iPadOS及watchOS。苹果已发布iOS 12.5.2、iOS 14.4.2和iPadOS 14.4.2、watchOS 7.3.3.修补该漏洞。
这是Google发现最新一批经过开采的零时差漏洞之一。Google另外还发现Chrome及Internet Explorer (IE)的零时差漏洞,前者有2个:CVE-2021-21166、CVE-2021-30551,可诱使用户连上恶意网页时,引发内存堆栈毁损而执行程序代码。IE的CVE-2021-33742为发生在MSHTML引擎的频外写入漏洞,可引发远程程序代码攻击。三者皆为CVSS 3.0 8.8层级的高度风险漏洞,皆已修补。
至于何以今年上半披露的零时差漏洞如此之多,Google指出,除了研究界更加努力披露外,其他原因包括移动设备普及成为恶意程序偏好目标,以及平台及安全企业侦测手法精进,迫使恶意程序作者必须开发技巧更高超、更快速发动攻击以提高成功率。