今年早些时候,谷歌发现了4个被积极利用的安全漏洞。近日,谷歌分享了这4个漏洞的详细成因,并且透露有APT组织正在利用其中一个漏洞攻击领英(LinkedIn)用户。
据谷歌安全研究人员透露,其中三个漏洞是由同一家商业监控供应商开发与销售的,剩下的一个漏洞可能是由一个与俄罗斯有联系的APT组织开发的。
这四个漏洞影响到了谷歌浏览器、IE浏览器和WebKit浏览器引擎。关于漏洞的详情如下:
其中有两个漏洞比较相似,CVE-2021-21166(chrome的 “object lifecycle issue”漏洞)和CVE-2021-30551(chrome的类型混淆漏洞), 这两个漏洞都是Chrome的远程代码执行漏洞。黑客通过电子邮件向目标发送链接,这些链接模仿与目标用户相关的合法网站,而目标用户单击连接时会被重定向黑客控制的网页,使得黑客收集到目标设备的信息从而利用漏洞进行攻击。
还有一个是Internet Explorer中MSHTML的越界写入漏洞(CVE-2021-33742)。黑客利用这个漏洞通过恶意Office文档将Web内容加载到IE中。这是通过使用Shell.Explorer.1 OLE 对象嵌入远程 ActiveX 对象,或者通过 VBA 宏生成IE进程以导航到网页来达到此目的。
最值得关注的是QuickTimePluginReplacement中的内存释放后使用漏洞(CVE-2021-1879 )。黑客可以利用此漏洞关闭同源策略保护,从而从热门网站收集身份验证Cookie。
参考来源:谷歌TAG分析报告
目前,黑客已经将上述最后一个漏洞(CVE-2021-1879)用于攻击领英。黑客的攻击方式为,通过电子邮件等方式发送恶意链接,诱导用户访问,然后利用漏洞绕过安全防护措施,最终收集到用户的身份验证信息并通过WebSocket将其发送到攻击者控制的IP。
据悉,黑客使用该漏洞攻击的目标是西欧的政府官员。谷歌的研究人员没有将本次攻击归咎于特定的APT组织,不过微软的研究人员认为攻击者是Nobelium,即2019 年 SolarWinds 供应链攻击事件的幕后黑手。
大家也不用过分担心,由分析报告可知,受害者需要通过Safari访问黑客专门制作的网站才会被攻击者渗透Cookie。对于该漏洞,亦可通过使用支持站点隔离功能的浏览器来避免此类攻击。苹果也已于今年3月修复了该漏洞,若担心遭到攻击,大家记得及时为设备打上补丁。
Copyright ©2023 仪陇家园网 蜀ICP备2022002889号-1
