安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Chrome 0 day漏洞被用于监控活动
2022-07-28 13:42:23 【

Chrome 0 day漏洞被用于Candiru监控恶意软件。

研究人员发现以色列监控软件厂商Candiru使用谷歌Chrome 浏览器0 day漏洞来监控位于中东地区的记者和特殊人群。

CVE-2022-2294漏洞是Chrome浏览器中WebRTC的基于堆的缓存溢出高危安全漏洞,成功利用该漏洞后可以在目标设备上实现任意代码执行。

7月4日,谷歌修复了该0 day漏洞,并称该漏洞已经有在野漏洞利用,但未提供漏洞利用的进一步细节。

7月21日,发现该漏洞的安全厂商Avast发布公开报告分析了该漏洞的利用情况。Avast称经过分析发现,Candiru自2022年3月就开始利用该漏洞攻击位于黎巴嫩、土耳其、也门和巴勒斯坦的用户。

在攻击活动中,Candiru使用了水坑攻击技术,用户访问被黑的网站后就会利用浏览器中的未知漏洞来感染监控恶意软件。

整个攻击过程是无需交互的。唯一需要做的是用Chrome浏览器或基于Chromium的浏览器打开一个网站。打开的网站可以是被入侵的合法网站,也可以是攻击者自己创建的网站。

在一起攻击活动中,攻击者入侵了黎巴嫩新闻机构的网站,并植入了一段JS代码。代码可以发起XSS攻击,并重路由有效目标到利用服务器。

受害者到服务器后,就会服务器用大约50个数据点进行画像。如果目标被认为是有效的,那么久会建立关于0 day漏洞利用的加密数据交换。

收集的信息包括受害者计算机所用的语言、时区、设备信号、浏览器插件、设备内存、cookie功能等。

在黎巴嫩的攻击案例中,0 day漏洞利用可以实现shellcode执行,并可以与另一个沙箱逃逸漏洞相结合实现其他功能。

在初始感染后,攻击者使用一个BYOVD(自带驱动)步骤来进行权限提升,并获取入侵设备内存的读写权限。

研究人员发现Candiru使用的BYOVD也是一个0 day漏洞。目前还不清楚攻击者的目标数据是什么,但研究人员认为攻击者可以通过漏洞利用了解记者等检索的信息,以达到监控的目的。

因为该漏洞位于WebRTC中,因此也影响苹果Safari浏览器。但目前研究人员只在Windows机器上发现了漏洞利用。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇没有了 下一篇IIS 扩展正越来越多地用作 Exchan..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800