情境示意圖

Google安全研究人員發現俄羅斯駭客鎖定歐洲LinkedIn用戶下手,如果他們也用iOS裝置的話。

Google威脅分析小組研究人員Maddie Stone及Clement Lecigne 5月間發現,Safari的WebKit引擎存在編號CVE-​2021-1879的安全漏洞。一個疑似俄羅斯政府支持的駭客組織利用LinkedIn Messaging,向歐洲國家政府官員發送惡意連結。如果他們從iOS裝置點入,就會被導向攻擊者控制的網域以送出次階段的攻擊程式。研究人員判斷,這波攻擊和5月間鎖定Windows 裝置用戶送出Cobalt Strike的攻擊相同。

Google分析,在多階段下載後,最後的攻擊程式會開採iOS裝置上Safari的CVE-​2021-1879。這會導致Safari的同源政策(Same-Origin-Policy)防護被關閉,而導致跨網域取得其他合法網站的資訊。同源政策要求瀏覽器下載和被存取的圖片、影片及程式碼都必須來自同一網域,以防止跨域攻擊。但在Safari同源政策被關閉後,駭客得以蒐集Google、Yahoo、LinkedIn、臉書及微軟網站的驗證cookies,並透過WebSocket傳送到外部攻擊者控制的IP Address。

所幸受害者必須剛好以Safari連向這些網站,駭客才能成功竊取cookies。研究人員也沒發現攻擊導致沙箱逃逸(sandbox escape)或植入什麼嵌入程式。這項漏洞屬於中度風險。

5月的這波攻擊鎖定12.4到13.7版iOS,以及相應的iPadOS及watchOS。蘋果已釋出iOS 12.5.2、iOS 14.4.2和iPadOS 14.4.2、watchOS 7.3.3.修補該漏洞。

這是Google發現最新一批經過開採的零時差漏洞之一。Google另外還發現Chrome及Internet Explorer (IE)的零時差漏洞,前者有2個:CVE-2021-21166 、CVE-2021-30551,可誘使用戶連上惡意網頁時,引發記憶體堆疊毁損而執行程式碼。IE的CVE-2021-33742為發生在MSHTML引擎的頻外寫入漏洞,可引發遠端程式碼攻擊。三者皆為CVSS 3.0 8.8層級的高度風險漏洞,皆已修補。

至於何以今年上半揭露的零時差漏洞如此之多,Google指出,除了研究界更加努力揭露外,其他原因包括行動裝置普及成為惡意程式偏好目標,以及平臺及安全業者偵測手法精進,迫使惡意程式作者必須開發技巧更高超、更快速發動攻擊以提高成功率。


熱門新聞

Advertisement