SolarWinds黑客利用iOS零日漏洞滲透政府官員使用的

谷歌威脅分析團隊指出，在針對西歐政府官員的滲透活動(dòng)中，SolarWinds 黑客利用了在舊版 iOS 系統中新發(fā)現的一個(gè)零日漏洞。周三的這份報告，披露本次攻擊還利用了通過(guò)領(lǐng)英(LinkedIn)向政府官員發(fā)送的信息。若受害者在 iPhone 上訪(fǎng)問(wèn)了特定的鏈接，就會(huì )被重定向至帶有初始惡意負載的域名。

在滿(mǎn)足多項“驗證檢查”后，SolarWinds 黑客會(huì )利用 CVE-2021-1879 漏洞來(lái)下載最終的有效載荷，并將之用于繞過(guò)某些安全防護措施。

比如關(guān)閉同源防護策略(Same-Origin-Policy)、或其它能夠防止惡意腳本在本地網(wǎng)絡(luò )上搜集數據的安全功能。

如此一來(lái)，攻擊者便能夠利用收集自谷歌、微軟、領(lǐng)英、臉書(shū)、雅虎等網(wǎng)站手機的身份驗證信息，并將之發(fā)送到受黑客控制的 IP 地址。

不過(guò) Maddie Stone 和 Clement Lecigne 寫(xiě)道：“受害者需要通過(guò) Safari 訪(fǎng)問(wèn)精心制作的網(wǎng)站，才會(huì )被黑客成功滲透其 cookie ”。

慶幸的是，蘋(píng)果已于今年 3 月修復了該漏洞。如果你運行受影響的 iOS 12.4 - 13.7 版本，還請及時(shí)為設備打上補丁。

此外通過(guò)使用支持站點(diǎn)隔離功能的瀏覽器(比如 Chrome 或 Firefox)，亦可避免此類(lèi)“同源策略”攻擊。

最后，盡管谷歌沒(méi)有披露幕后黑手的真實(shí)身份，但 ArsTechnica 已將攻擊者確定為 Nobelium(與 2019 年 SolarWinds 黑客攻擊事件背后是同一團隊)。