去年,幾家商業間諜軟件開發商開發并利用了針對 iOS 和安卓用戶的零日漏洞。然而,它們的漏洞利用鏈還依賴已知的漏洞才能發揮作用,這凸顯了用戶和設備制造商都應加快采用安全補丁的重要性。
谷歌威脅分析小組(TAG)的研究人員在一份詳述攻擊活動的報告中表示:" 零日漏洞與 n-day 漏洞被結合使用,利用補丁發布與完全部署到最終用戶設備之間的巨大時間差來大做文章。我們的調查結果強調了商業監視軟件開發商在多大程度上擴大了以往隻有具備技術專長來開發和實施漏洞利用工具的政府才能享用的功能。"
iOS 間諜軟件漏洞利用鏈
作爲 iOS 設備的唯一硬件制造商和在 iOS 設備上運行的軟件的開發者,蘋果公司對其移動生态系統的控制極爲嚴格。正因爲如此,iPhone 和 iPad 的補丁采用率一向比安卓高得多,谷歌開發了安卓這一基礎操作系統,随後數十家設備制造商針對各自的産品定制安卓,并維護各自獨立的固件。
2022 年 11 月,谷歌 TAG 發現一起攻擊活動通過短信(SMS),使用面向 iOS 和安卓的漏洞利用鏈來攻擊意大利、馬來西亞和哈薩克斯坦的 iOS 用戶和安卓用戶。這起活動使用了 bit.ly 縮短 URL;一旦用戶點擊這些 URL,就會被引導至投放漏洞利用工具的網頁,然後被定向至合法網站,比如意大利物流公司 BRT 的貨運跟蹤門戶網站或馬來西亞的某個熱門新聞網站。
iOS 漏洞利用鏈還結合了 WebKit 中的遠程代碼執行漏洞—— WebKit 是蘋果用在 Safari 和 iOS 中的網站渲染引擎,這個漏洞在當時未知且未修補。該漏洞現在被編号爲 CVE-2022-42856,在谷歌 TAG 向蘋果報告後已在 1 月份得到了修複。
然而,這款 Web 浏覽器引擎中的遠程代碼執行漏洞不足以危及設備,因爲 iOS 和安卓等移動操作系統使用沙箱技術來限制浏覽器的權限。因此,攻擊者将該零日漏洞與 AGXAccelerator 中的沙箱逃逸和特權升級漏洞(CVE-2021-30900)相結合,而 AGXAccelerator 是 GPU 驅動程序的一個組件,蘋果早在 2021 年 10 月在 iOS 15.1 中針對該漏洞打上了補丁。
該漏洞利用鏈還使用了蘋果在 2022 年 3 月修複的 PAC 繞過技術,該技術之前曾出現在 Cytrox 商業間諜軟件開發商在 2021 使用的漏洞利用工具中,用來在針對流亡的埃及政治反對派領袖和埃及新聞記者的活動中分發其 Predator 間諜軟件。實際上,這兩個漏洞都有一個非常特殊的函數:make_bogus_transform,這表明兩者可能是相關聯的。
在谷歌 TAG 看到的 11 月活動中,漏洞利用鏈的最終攻擊載荷是一個簡單的惡意軟件,它定期向攻擊者報告受感染設備的 GPS 位置,還爲他們提供了在受影響的設備上部署 .IPA(iOS 應用程序壓縮包)的文件。
安卓間諜軟件漏洞利用鏈
安卓用戶遇到了一條類似的漏洞利用鏈,它結合了浏覽器引擎(這回是 Chrome)中的代碼執行漏洞以及沙箱逃逸和特權升級漏洞。
代碼執行漏洞是 CVE-2022-3723,這個混淆漏洞由反病毒供應商 Avast 的研究人員在外面發現,并于 2022 年 10 月在 Chrome 版本 107.0.5304.87 中得到了修補。與之結合使用的是 Chrome GPU 沙箱繞過漏洞(CVE-2022 -4135),該漏洞已于 2022 年 11 月在安卓中得到了修複,但當時它被利用時是零日漏洞。結合使用的還有 ARM Mali GPU 驅動程序中的一個漏洞(CVE-2022-38181),ARM 已在 2022 年 8 月發布了修複該漏洞的補丁。
攻擊載荷尚未被提取的這條漏洞利用鏈針對使用 ARM Mali GPU 和 Chrome 版本低于 106 的安卓設備用戶。問題是,一旦 ARM 爲其代碼發布補丁,設備制造商可能需要幾個月的時間才能将補丁整合到各自的固件中,并發布各自的安全更新。由于這個 Chrome 漏洞,用戶在這起活動作案之前隻有不到一個月的時間來安裝更新。
這突顯了設備制造商加快整合關鍵漏洞補丁的重要性,也突顯了用戶及時更新設備上的應用程序的重要性,尤其是浏覽器、電子郵件客戶軟件等關鍵應用程序。
針對三星設備的間諜軟件漏洞利用鏈
2022 年 12 月發現的另一起活動針對三星互聯網浏覽器的用戶,該浏覽器是三星安卓設備上的默認浏覽器,基于 Chromium 開源項目。這起活動也使用了通過 SMS 發送給阿聯酋用戶的鏈接,但投放漏洞利用工具的登錄頁面與 TAG 之前觀察到的商業間諜軟件開發商 Variston 開發的 Heliconia 框架的登錄頁面一模一樣。
該漏洞利用工具結合了多個零日漏洞和 n-day 漏洞,這些 n-day 漏洞對于當時的三星互聯網浏覽器或在三星設備上運行的固件來說是零日漏洞。
其中一個漏洞是 CVE-2022-4262,這是 Chrome 中的一個代碼執行類型混淆漏洞,已在 2022 年 12 月得到了修複。該漏洞與 2022 年 8 月在 Chrome 版本 105 中修複的沙箱逃逸漏洞(CVE-2022-3038)相結合。然而,攻擊活動發生時的三星互聯網浏覽器基于 Chromium 版本 102,不包括這些最新的緩解措施,再次表明了攻擊者如何利用較長的補丁窗口。
該漏洞利用鏈還依賴 ARM 在 2022 年 1 月修複的 ARM Mali GPU 内核驅動程序中的特權升級漏洞(CVE-2022-22706)。當這起攻擊發在 2022 年 12 月發生時,三星設備上的最新固件版本還沒有包含相應補丁。
該漏洞利用鏈還包括 Linux 内核聲音子系統中的另一個零日特權升級漏洞(CVE-2023-0266)——該漏洞爲攻擊者提供了内核讀寫訪問權限,以及谷歌向 ARM 和三星報告的多個内核信息洩漏零日漏洞。
谷歌 TAG 的研究人員表示:" 這些活動繼續突顯了打補丁的重要性,因爲如果用戶運行全面經過更新的設備,他們就不會受到這些漏洞利用鏈的影響。PAC、V8 沙箱和 MiraclePTR 等中間緩解措施對漏洞利用工具的開發人員确實産生了重大影響,因爲他們需要開發額外的漏洞才能繞過這些緩解措施。"