情境示意圖,photo by Sharon McCutcheon unsplash

資安業者卡巴斯基(Kaspersky)周二(6/8)揭露了PuzzleMaker駭客集團在今年4月15日及16日所進行的攻擊行動,指出PuzzleMaker串連了微軟與Google Chrome的3個零時差漏洞,針對多家企業展開目標式攻擊。而Google已於4月修補了相關漏洞,微軟也已在本周二修補遭到PuzzleMaker開採的兩個漏洞。

根據卡巴斯基的調查,PuzzleMaker的所有攻擊都是藉由Chrome瀏覽器執行的,不過該團隊未能取得完整的攻擊程式,因此只能根據功能及時間來猜測PuzzleMaker所利用的Chrome零時差漏洞,是Google在今年4月20日藉由Chrome 90.0.4430.72所修補的CVE-2021-21224漏洞

而PuzzleMaker所開採的其它兩個漏洞,則是微軟的CVE-2021-31955與CVE-2021-31956。這兩個漏洞是微軟在本周修補的5個已被開採漏洞的其中兩個CVE-2021-31955為Windows核心的資訊揭露漏洞,可外洩Windows核心記憶體中的內容,CVE-2021-31956則是存在於NTFS的權限擴張漏洞,成功的開採將允許駭客掌控系統。

卡巴斯基指出,其實CVE-2021-31955漏洞幾年前就出現在GitHub上了(如下圖所示),只是今年才被發現用於實際攻擊。

圖片來源_卡巴斯基

不過,卡巴斯基迄今都不確定PuzzleMaker所開採的Chrome漏洞,只能從時間點與事件來猜測。根據研究人員的分析,於今年4月6日至8日舉行的Pwn2Own駭客會議上,有一參賽團隊利用了Typer Mismatch漏洞成功開採了Chrome,4月12日便有Chromium開發者提交了issue 1196683與issue 1195777來修補兩個與Typer Mismatch有關的漏洞,其中,issue 1196683修補的是在Pwn2Own會議上被揭露的CVE-2021-21220漏洞,issue 1195777則是修補另一個Typer Mismatch漏洞CVE-2021-21224 。

研究人員原本以為駭客是開採了issue 1196683所修補的CVE-2021-21220漏洞,不過,Google是在4月13日釋出的Chrome 89.0.4389.128就修補了CVE-2021-21220,但攻擊行動卻是出現在4月15日及16日,而對CVE-2021-21224的修補則是現身於4月20日,因而猜測CVE-2021-21224才是遭到PuzzleMaker利用的漏洞。

卡巴斯基並沒有公布PuzzleMaker的攻擊目標對象或企圖,僅說相關攻擊先是進駐受害系統,再連結命令暨控制伺服器以下載更多的惡意程式,藉由遠端的Shell模組來下載與上傳檔案、建立程序,還能設定蟄伏時間並刪除自己。

 參考資料 

微軟Patch Tuesday修補資訊(2021-06-09公告):https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun

Google修補Chrome的CVE-2021-21224漏洞(2021-04-20公告):https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

Google修補Chrome的CVE-2021-21220漏洞(2021-04-13公告):https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html

熱門新聞

Advertisement