系統(tǒng)下載、安裝、激活,就到系統(tǒng)天地來(lái)!

所在位置: 首頁(yè) — IT資訊 — 微軟

黑客利用Windows 10和Chrome零日漏洞發(fā)動(dòng)攻擊

作者:系統(tǒng)天地 日期:2019-12-12

微軟和谷歌都已經(jīng)在昨天發(fā)布軟件更新用于修復(fù)部分安全漏洞,這其中就包括某個(gè)在野外已遭到利用的零日漏洞。這些零日漏洞由卡巴斯基發(fā)現(xiàn)但是高級(jí)黑客團(tuán)體早已利用,黑客借助這些漏洞可以直接在計(jì)算機(jī)上安裝間諜軟件。而經(jīng)過(guò)溯源后卡巴斯基指出無(wú)法將攻擊者歸于任何特定攻擊者,但攻擊者使用的部分代碼與拉撒路集團(tuán)有相似性。

拉撒路集團(tuán)是知名勒索軟件WannaCry的始作俑者,而該集團(tuán)也被安全公司認(rèn)為是由北韓資助的國(guó)家級(jí)黑客團(tuán)隊(duì)。

 

黑客利用Windows 10和Chrome零日漏洞發(fā)動(dòng)攻擊.png

 

利用漏洞攻擊韓語(yǔ)新聞網(wǎng)站加載惡意軟件:

卡巴斯基調(diào)查后發(fā)現(xiàn)最初攻擊者利用某韓語(yǔ)新聞網(wǎng)站的漏洞嵌入惡意腳本,當(dāng)用戶瀏覽該網(wǎng)站時(shí)就會(huì)加載該腳本。而這個(gè)惡意腳本里有代碼是專門針對(duì)Google Chrome 的,黑客利用的漏洞是谷歌官方此前并未發(fā)現(xiàn)的零日漏洞。惡意腳本被加載后會(huì)再調(diào)用Win32K 安全漏洞下載并安裝惡意軟件,該惡意軟件會(huì)自動(dòng)連接遠(yuǎn)程服務(wù)器獲取指令。也就是說(shuō)主要用戶瀏覽這個(gè)韓語(yǔ)網(wǎng)站就會(huì)被感染惡意軟件,在這期間不需要用戶執(zhí)行任何交互動(dòng)作即可完成攻擊。

#攻擊者將惡意腳本偽裝成流行的jQuery庫(kù) 卡巴斯基稱這次攻擊事件為Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script>

 

潛在攻擊者可能是拉撒路集團(tuán):

卡巴斯基在經(jīng)過(guò)溯源和分析后表示沒(méi)有確切證據(jù)能夠?qū)⒋舜喂羰录c任何已知的高級(jí)持續(xù)性威脅團(tuán)體關(guān)聯(lián)起來(lái)。但攻擊者使用的相關(guān)代碼與拉撒路集團(tuán)有非常弱的相似性,這表明潛在的攻擊團(tuán)體可能是名聲在外的拉撒路集團(tuán)。拉撒路集團(tuán)曾發(fā)動(dòng)過(guò)多次知名的網(wǎng)絡(luò)攻擊,包括WannaCry勒索軟件、孟加拉國(guó)家銀行失竊案、遠(yuǎn)東銀行失竊案。而該集團(tuán)也被證實(shí)是北韓資助的國(guó)家級(jí)黑客組織,這次攻擊的載體是韓語(yǔ)新聞網(wǎng)站也就是說(shuō)主要目標(biāo)是韓國(guó)用戶。因此按常理推測(cè)的話此次攻擊是拉撒路集團(tuán)發(fā)動(dòng)的可能性非常大,不過(guò)卡巴斯基稱暫時(shí)沒(méi)有足夠多的確切的證據(jù)??ò退够J(rèn)為相關(guān)攻擊代碼與拉撒路集團(tuán)有非常弱的相似性也可能是其他攻擊者試圖將調(diào)查視線轉(zhuǎn)到拉撒路身上。

 

微軟已經(jīng)在例行更新中修復(fù)漏洞:

事實(shí)上這次安全漏洞不僅影響Windows 10, 據(jù)微軟官方說(shuō)明所有受支持的Windows版本包括服務(wù)器版均受影響。出現(xiàn)安全漏洞的依然是最近非常熱門的Win32K 組件,該組件從去年年底到現(xiàn)在已經(jīng)被發(fā)現(xiàn)多個(gè)高危的零日漏洞。微軟表示攻擊者借助此漏洞可以在內(nèi)核模式下運(yùn)行任意代碼,包括安裝軟件、刪改數(shù)據(jù)或新增同權(quán)限的用戶賬戶。受影響的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。當(dāng)然Windows 7 SP1之前的版本例如XP以及Windows 10已經(jīng)停止支持的版本比如1803之前的版本也會(huì)受影響。不過(guò)這些已經(jīng)停止支持的版本并沒(méi)有安全更新用于修復(fù)漏洞,所以建議用戶們還是盡早升級(jí)受支持的版本比較好。

 

谷歌也已經(jīng)修復(fù)零日漏洞:

這次攻擊者同時(shí)利用Windows操作系統(tǒng)和Google Chrome漏洞比較罕見(jiàn),不過(guò)現(xiàn)在這個(gè)漏洞利用方式已被封堵。谷歌瀏覽器開(kāi)發(fā)團(tuán)隊(duì)在接到卡巴斯基報(bào)告后已經(jīng)及時(shí)修復(fù)漏洞,用戶只要開(kāi)啟自動(dòng)更新就可以自動(dòng)升級(jí)到最新版。目前谷歌瀏覽器在國(guó)內(nèi)已經(jīng)部署服務(wù)器可以提供更新,用戶也可以點(diǎn)擊這里訪問(wèn)中國(guó)官網(wǎng)下載谷歌瀏覽器安裝包。