Google：俄罗斯骇客利用Safari零时差漏洞锁定LinkedIn用户

Google安全研究人员发现俄罗斯骇客锁定欧洲LinkedIn用户下手，如果他们也用iOS装置的话。

Google威胁分析小组研究人员Maddie Stone及Clement Lecigne 5月间发现，Safari的WebKit引擎存在编号CVE-​2021-1879的安全漏洞。一个疑似俄罗斯-支持的骇客组织利用LinkedIn Messaging，向欧洲国家-官员发送恶意连结。如果他们从iOS装置点入，就会被导向攻击者控制的网域以送出次阶段的攻击程式。研究人员判断，这波攻击和5月间锁定Windows 装置用户送出Cobalt Strike的攻击相同。

Google分析，在多阶段下载后，最后的攻击程式会开采iOS装置上Safari的CVE-​2021-1879。这会导致Safari的同源政策（Same-Origin-Policy）防护被关闭，而导致跨网域取得其他合法网站的资讯。同源政策要求浏览器下载和被存取的图片、影片及程式码都必须来自同一网域，以防止跨域攻击。但在Safari同源政策被关闭后，骇客得以搜集Google、Yahoo、LinkedIn、脸书及微软网站的验证cookies，并透过WebSocket传送到外部攻击者控制的IP Address。

所幸受害者必须刚好以Safari连向这些网站，骇客才能成功窃取cookies。研究人员也没发现攻击导致沙箱逃逸（sandbox escape）或植入什么嵌入程式。这项漏洞属于中度风险。

5月的这波攻击锁定12.4到13.7版iOS，以及相应的iPadOS及watchOS。苹果已释出iOS 12.5.2、iOS 14.4.2和iPadOS 14.4.2、watchOS 7.3.3.修补该漏洞。

这是Google发现最新一批经过开采的零时差漏洞之一。Google另外还发现Chrome及Internet Explorer (IE)的零时差漏洞，前者有2个：CVE-2021-21166 、CVE-2021-30551，可诱使用户连上恶意网页时，引发内存堆叠毁损而执行程式码。IE的CVE-2021-33742为发生在MSHTML引擎的频外写入漏洞，可引发远端程式码攻击。三者皆为CVSS 3.0 8.8层级的高度风险漏洞，皆已修补。

至于何以今年上半揭露的零时差漏洞如此之多，Google指出，除了研究界更加努力揭露外，其他原因包括行动装置普及成为恶意程式偏好目标，以及平台及安全业者侦测手法精进，迫使恶意程式作者必须开发技巧更高超、更快速发动攻击以提高成功率。