Google：俄罗斯黑客利用Safari零时差漏洞锁定LinkedIn用户

朦胧的风

Google安全研究人员发现俄罗斯黑客锁定欧洲LinkedIn用户下手，如果他们也用iOS设备的话。

Google威胁分析小组研究人员Maddie Stone及Clement Lecigne 5月间发现，Safari的WebKit引擎存在编号CVE-2021-1879的安全漏洞。一个疑似俄罗斯政府支持的黑客组织利用LinkedIn Messaging，向欧洲国家政府官员发送恶意连接。如果他们从iOS设备点入，就会被导向攻击者控制的域名以送出次阶段的攻击程序。研究人员判断，这波攻击和5月间锁定Windows设备用户送出Cobalt Strike的攻击相同。

Google分析，在多阶段下载后，最后的攻击程序会开采iOS设备上Safari的CVE-2021-1879。这会导致Safari的同源政策（Same-Origin-Policy）防护被关闭，而导致跨域名取得其他合法网站的信息。同源政策要求浏览器下载和被访问的图片、视频及程序代码都必须来自同一域名，以防止跨域攻击。但在Safari同源政策被关闭后，黑客得以搜集Google、Yahoo、LinkedIn、脸书及微软网站的验证cookies，并通过WebSocket发送到外部攻击者控制的IP Address。

所幸受害者必须刚好以Safari连向这些网站，黑客才能成功窃取cookies。研究人员也没发现攻击导致沙箱逃逸（sandbox escape）或植入什么嵌入程序。这项漏洞属于中度风险。

5月的这波攻击锁定12.4到13.7版iOS，以及相应的iPadOS及watchOS。苹果已发布iOS 12.5.2、iOS 14.4.2和iPadOS 14.4.2、watchOS 7.3.3.修补该漏洞。

这是Google发现最新一批经过开采的零时差漏洞之一。Google另外还发现Chrome及Internet Explorer (IE)的零时差漏洞，前者有2个：CVE-2021-21166、CVE-2021-30551，可诱使用户连上恶意网页时，引发内存堆栈毁损而执行程序代码。IE的CVE-2021-33742为发生在MSHTML引擎的频外写入漏洞，可引发远程程序代码攻击。三者皆为CVSS 3.0 8.8层级的高度风险漏洞，皆已修补。

至于何以今年上半披露的零时差漏洞如此之多，Google指出，除了研究界更加努力披露外，其他原因包括移动设备普及成为恶意程序偏好目标，以及平台及安全企业侦测手法精进，迫使恶意程序作者必须开发技巧更高超、更快速发动攻击以提高成功率。

https://baijiahao.baidu.com/s?id=1705344437365482184&wfr=spider&for=pc

★心空☆

有针对的干活