Google在今年1月时曾经披露,有一黑客组织在2020年2月时串联了4个零时差漏洞,并针对Windows与Android用户发动水坑攻击(Watering Hole),上周Google再度指出,同一黑客组织去年10月也串联了另外的7个零时差漏洞,同样采行了水坑攻击手法,但这次受害者从Windows与Android用户扩大到了iOS用户,同时显示该技术高超的黑客组织在不到一年内,至少就开采了11个零时差漏洞。
零时差漏洞指的是尚未被披露或修补的安全漏洞,由于黑客所利用的是无人发现的系统漏洞,而让攻击程序如入无人之境。
在此次的攻击中,黑客于数十个合法网站上植入了恶意程序,以将访问者导向两个开采服务器,其中一个服务器专门用来开采Windows与iOS用户,另一个服务器则仅用来开采Android用户,这两个服务器会根据设备及浏览器版本的不同,而开采相关的零时差漏洞。
这次黑客开采的7个零时差漏洞包括Chrome的Freetype堆积缓冲区溢出漏洞CVE-2020-15999、Chrome的TurboFan地图弃用中的类型混淆漏洞CVE-2020-16009、Chrome for Android的堆积缓冲区溢出漏洞CVE-2020-16010、Safari的任意堆栈读写漏洞CVE-2020-27930、Windows cng.sys的堆积缓冲区溢出漏洞CVE-2020-17087、iOS的XNU核心内存披露漏洞CVE-2020-27950,以及iOS核心的类型混淆漏洞CVE-2020-27932。
在锁定Windows与iOS的开采服务器中,黑客利用了CVE-2020-27930、CVE-2020-15999、CVE-2020-16009、CVE-2020-27950、CVE-2020- 17087与CVE-2020-27932等6个漏洞,在锁定Android的开采服务器中则利用了CVE-2020-15999与CVE-2020-16010等两个零时差漏洞,以及另一个已被披露多时的Chrome for Android沙箱逃逸漏洞。
Google Project Zero安全研究人员Maddie Stone指出,黑客替不同操作系统与浏览器的组合量身打造了开采机制,每种机制都部署了混淆及反分析检查,有趣的是,虽然这两个服务器都利用了Chrome漏洞CVE-2020-15999来开采Windows与Android,但其攻击程序的程序代码却相当不同,而且两个服务器关闭的时间不同,使得他们认为这两个服务器可能是由不同的团队所创建,但却是彼此合作的。
值得注意的是,该黑客组织所使用的技巧高超。Stone表示,每个开采程序都展现了黑客具备如何开采漏洞以及如何打造攻击程序的专家知识,在开采Chrome Freetype零时差漏洞(CVE-2020-15999)所使用的方法上,对Project Zero而言也是非常新奇的;要找出如何触发iOS核心之权限漏洞的程序也并非易事;且黑客所使用的混淆手法不仅多样化,也需要花费很多的时间才能找到。
Project Zero并未公布该黑客组织从哪而来,也未披露遭到锁定的攻击对象。
在2019年时,坊间即出现了20个零时差漏洞,而这些漏洞都是在已经被开采且有攻击程序现身时才被发现,零时差漏洞或许无可避免,但Project Zero团队显然希望安全社群能够加快侦测零时差漏洞攻击程序的脚步,以缩短黑客利用相关漏洞的时间,尽量将零时差漏洞所带来的危害减到最低,因而开始研究并公布零时差漏洞攻击程序的细节,以协助安全社群理解黑客的能力及所使用的手法。