谷歌威脅分析小組(TAG)的研究人員在一份詳述攻擊活動的報(bào)告中表示:" 零日漏洞與 n-day 漏洞被結(jié)合使用,利用補(bǔ)丁發(fā)布與完全部署到最終用戶設(shè)備之間的巨大時(shí)間差來大做文章。我們的調(diào)查結(jié)果強(qiáng)調(diào)了商業(yè)監(jiān)視軟件開發(fā)商在多大程度上擴(kuò)大了以往只有具備技術(shù)專長來開發(fā)和實(shí)施漏洞利用工具的政府才能享用的功能。"
iOS 間諜軟件漏洞利用鏈
(資料圖片僅供參考)
作為 iOS 設(shè)備的唯一硬件制造商和在 iOS 設(shè)備上運(yùn)行的軟件的開發(fā)者,蘋果公司對其移動生態(tài)系統(tǒng)的控制極為嚴(yán)格。正因?yàn)槿绱耍琲Phone 和 iPad 的補(bǔ)丁采用率一向比安卓高得多,谷歌開發(fā)了安卓這一基礎(chǔ)操作系統(tǒng),隨后數(shù)十家設(shè)備制造商針對各自的產(chǎn)品定制安卓,并維護(hù)各自獨(dú)立的固件。
2022 年 11 月,谷歌 TAG 發(fā)現(xiàn)一起攻擊活動通過短信(SMS),使用面向 iOS 和安卓的漏洞利用鏈來攻擊意大利、馬來西亞和哈薩克斯坦的 iOS 用戶和安卓用戶。這起活動使用了 bit.ly 縮短 URL;一旦用戶點(diǎn)擊這些 URL,就會被引導(dǎo)至投放漏洞利用工具的網(wǎng)頁,然后被定向至合法網(wǎng)站,比如意大利物流公司 BRT 的貨運(yùn)跟蹤門戶網(wǎng)站或馬來西亞的某個(gè)熱門新聞網(wǎng)站。
iOS 漏洞利用鏈還結(jié)合了 WebKit 中的遠(yuǎn)程代碼執(zhí)行漏洞—— WebKit 是蘋果用在 Safari 和 iOS 中的網(wǎng)站渲染引擎,這個(gè)漏洞在當(dāng)時(shí)未知且未修補(bǔ)。該漏洞現(xiàn)在被編號為 CVE-2022-42856,在谷歌 TAG 向蘋果報(bào)告后已在 1 月份得到了修復(fù)。
然而,這款 Web 瀏覽器引擎中的遠(yuǎn)程代碼執(zhí)行漏洞不足以危及設(shè)備,因?yàn)?iOS 和安卓等移動操作系統(tǒng)使用沙箱技術(shù)來限制瀏覽器的權(quán)限。因此,攻擊者將該零日漏洞與 AGXAccelerator 中的沙箱逃逸和特權(quán)升級漏洞(CVE-2021-30900)相結(jié)合,而 AGXAccelerator 是 GPU 驅(qū)動程序的一個(gè)組件,蘋果早在 2021 年 10 月在 iOS 15.1 中針對該漏洞打上了補(bǔ)丁。
該漏洞利用鏈還使用了蘋果在 2022 年 3 月修復(fù)的 PAC 繞過技術(shù),該技術(shù)之前曾出現(xiàn)在 Cytrox 商業(yè)間諜軟件開發(fā)商在 2021 使用的漏洞利用工具中,用來在針對流亡的埃及政治反對派領(lǐng)袖和埃及新聞記者的活動中分發(fā)其 Predator 間諜軟件。實(shí)際上,這兩個(gè)漏洞都有一個(gè)非常特殊的函數(shù):make_bogus_transform,這表明兩者可能是相關(guān)聯(lián)的。
在谷歌 TAG 看到的 11 月活動中,漏洞利用鏈的最終攻擊載荷是一個(gè)簡單的惡意軟件,它定期向攻擊者報(bào)告受感染設(shè)備的 GPS 位置,還為他們提供了在受影響的設(shè)備上部署 .IPA(iOS 應(yīng)用程序壓縮包)的文件。
安卓間諜軟件漏洞利用鏈
安卓用戶遇到了一條類似的漏洞利用鏈,它結(jié)合了瀏覽器引擎(這回是 Chrome)中的代碼執(zhí)行漏洞以及沙箱逃逸和特權(quán)升級漏洞。
代碼執(zhí)行漏洞是 CVE-2022-3723,這個(gè)混淆漏洞由反病毒供應(yīng)商 Avast 的研究人員在外面發(fā)現(xiàn),并于 2022 年 10 月在 Chrome 版本 107.0.5304.87 中得到了修補(bǔ)。與之結(jié)合使用的是 Chrome GPU 沙箱繞過漏洞(CVE-2022 -4135),該漏洞已于 2022 年 11 月在安卓中得到了修復(fù),但當(dāng)時(shí)它被利用時(shí)是零日漏洞。結(jié)合使用的還有 ARM Mali GPU 驅(qū)動程序中的一個(gè)漏洞(CVE-2022-38181),ARM 已在 2022 年 8 月發(fā)布了修復(fù)該漏洞的補(bǔ)丁。
攻擊載荷尚未被提取的這條漏洞利用鏈針對使用 ARM Mali GPU 和 Chrome 版本低于 106 的安卓設(shè)備用戶。問題是,一旦 ARM 為其代碼發(fā)布補(bǔ)丁,設(shè)備制造商可能需要幾個(gè)月的時(shí)間才能將補(bǔ)丁整合到各自的固件中,并發(fā)布各自的安全更新。由于這個(gè) Chrome 漏洞,用戶在這起活動作案之前只有不到一個(gè)月的時(shí)間來安裝更新。
這突顯了設(shè)備制造商加快整合關(guān)鍵漏洞補(bǔ)丁的重要性,也突顯了用戶及時(shí)更新設(shè)備上的應(yīng)用程序的重要性,尤其是瀏覽器、電子郵件客戶軟件等關(guān)鍵應(yīng)用程序。
針對三星設(shè)備的間諜軟件漏洞利用鏈
2022 年 12 月發(fā)現(xiàn)的另一起活動針對三星互聯(lián)網(wǎng)瀏覽器的用戶,該瀏覽器是三星安卓設(shè)備上的默認(rèn)瀏覽器,基于 Chromium 開源項(xiàng)目。這起活動也使用了通過 SMS 發(fā)送給阿聯(lián)酋用戶的鏈接,但投放漏洞利用工具的登錄頁面與 TAG 之前觀察到的商業(yè)間諜軟件開發(fā)商 Variston 開發(fā)的 Heliconia 框架的登錄頁面一模一樣。
該漏洞利用工具結(jié)合了多個(gè)零日漏洞和 n-day 漏洞,這些 n-day 漏洞對于當(dāng)時(shí)的三星互聯(lián)網(wǎng)瀏覽器或在三星設(shè)備上運(yùn)行的固件來說是零日漏洞。
其中一個(gè)漏洞是 CVE-2022-4262,這是 Chrome 中的一個(gè)代碼執(zhí)行類型混淆漏洞,已在 2022 年 12 月得到了修復(fù)。該漏洞與 2022 年 8 月在 Chrome 版本 105 中修復(fù)的沙箱逃逸漏洞(CVE-2022-3038)相結(jié)合。然而,攻擊活動發(fā)生時(shí)的三星互聯(lián)網(wǎng)瀏覽器基于 Chromium 版本 102,不包括這些最新的緩解措施,再次表明了攻擊者如何利用較長的補(bǔ)丁窗口。
該漏洞利用鏈還依賴 ARM 在 2022 年 1 月修復(fù)的 ARM Mali GPU 內(nèi)核驅(qū)動程序中的特權(quán)升級漏洞(CVE-2022-22706)。當(dāng)這起攻擊發(fā)在 2022 年 12 月發(fā)生時(shí),三星設(shè)備上的最新固件版本還沒有包含相應(yīng)補(bǔ)丁。
該漏洞利用鏈還包括 Linux 內(nèi)核聲音子系統(tǒng)中的另一個(gè)零日特權(quán)升級漏洞(CVE-2023-0266)——該漏洞為攻擊者提供了內(nèi)核讀寫訪問權(quán)限,以及谷歌向 ARM 和三星報(bào)告的多個(gè)內(nèi)核信息泄漏零日漏洞。
谷歌 TAG 的研究人員表示:" 這些活動繼續(xù)突顯了打補(bǔ)丁的重要性,因?yàn)槿绻脩暨\(yùn)行全面經(jīng)過更新的設(shè)備,他們就不會受到這些漏洞利用鏈的影響。PAC、V8 沙箱和 MiraclePTR 等中間緩解措施對漏洞利用工具的開發(fā)人員確實(shí)產(chǎn)生了重大影響,因?yàn)樗麄冃枰_發(fā)額外的漏洞才能繞過這些緩解措施。"
