谷歌公布4个0day详情，其中3个被滥用于攻击亚美尼亚

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

谷歌指出，这三个 Chrome 和 IE 0day 是由“同一家将这些能力出售给两个不同的政府行动者的商业监控公司开发的”。但谷歌并未说明这家经纪公司或政府行动者的身份。

谷歌表示，所有的这三个0day都被用于攻击位于亚美尼亚的目标。例如，谷歌表示，Chrome 0day 利用 CVE-2021-21166 和 CVE-2021-30551 通过邮件将假冒合法站点的一次性链接发给目标个人。

谷歌指出，“目标点击链接后被重定向到可指纹记录设备的网页，手机关于客户的系统信息并生成解密 exploit 的 ECDH 密钥，之后将数据发回 exploit 服务器。在指纹记录阶段收集的信息包括屏幕分辨率、时区、语言、浏览器插件和可用的 MIME 类型。攻击者收集这些信息来判断是否应将某 exploit 传播给目标。

谷歌指出，研究人员在发现需要交付正在发挥作用的 exploit 所需的正确配置后发现了两个0day，“该0day exploit 攻陷了渲染程序后，攻击者执行了中间阶段以收集更多关于受感染设备的信息包括操作系统的构建版本、CPU、固件和BIOS信息。这样做的目的是试图检测虚拟机并向目标发送定制化的沙箱逃逸。在我们的环境中，我们并未收到该阶段以外的任何 payload。“

谷歌 TAG 团队指出，出于共享某些代码库的原因，CVE-2021-21166 还影响 Safari 的 WebKit 浏览器引擎，并且将该问题告知苹果，后者快速修复了该漏洞并为其分配了编号 CVE-2021-1844。

谷歌 TAG 团队指出，“我们没有证据表明该漏洞用于攻击 Safari 用户。“

至于微软在6月份修复的 IE 0day CVE-2021-33742，谷歌表示也被用于攻击亚美尼亚的目标。这次，攻击者通过附有恶意 Office 文档的邮件传播方法，该恶意文档通过IE 可嵌入组件在 Office 内部加载 Web 内容。

和这两个 Chrome 0day 一样，在攻击者部署第二阶段 payload 之前，攻击中涉及指纹记录阶段。这两次攻击活动的相似之处在于，虽然它们由不同的威胁行动者执行，但这些 0day exploit 很可能是由同一家 exploit 经纪人创建的。

此外，谷歌表示还检测到利用位于 WebKit (iOS) 中安全缺陷 CVE-2021-1879的攻击。

谷歌表示这些攻击“可能是受俄罗斯政府支持的行动者“，是通过 LinkedIn Messenger 执行的。该Messenger 是 LinkedIn 的一个功能，可使用户在平台上交换信息。

谷歌表示，俄罗斯威胁行动者利用 LinkedIn 将恶意链接发送给西欧国家政府。如果目标通过iOS 设备上的 Safari/WebKit 浏览器打开该链接，则该0day exploit 将禁用同源策略防护措施“从多个流行网站收集认证 cookie，包括谷歌、微软、LinkedIn、Facebook 和Yahoo，并通过 WebSocket 将这些cookie 发送给攻击者控制的 IP。“

该 exploit 针对的是运行 iOS 版本12.4至13.7的用户，谷歌表示今年春天还在微软和 Volexity 记录的其它攻击活动中发现了同样的0day (CVE-2021-1879)。这些攻击被归咎于 Nobelium 和 APT29。

详情可见：https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/