Google：有一专业级骇客组织在一年内至少开采了11个零时差漏洞

Google在今年1月时曾经揭露，有一骇客组织在2020年2月时串连了4个零时差漏洞，并针对Windows与Android用户发动水坑攻击（Watering Hole），上周Google再度指出，同一骇客组织去年10月也串连了另外的7个零时差漏洞，同样采行了水坑攻击手法，但这次受害者从Windows与Android用户扩大到了iOS用户，同时显示此一技术高超的骇客组织在不到一年内，至少就开采了11个零时差漏洞。

零时差漏洞指的是尚未被揭露或修补的安全漏洞，由于骇客所利用的是无人察觉的系统漏洞，而让攻击程式如入无人之境。

在此次的攻击中，骇客于数十个合法网站上植入了恶意程式，以将造访者导向两个开采服务器，其中一个服务器专门用来开采Windows与iOS用户，另一个服务器则仅用来开采Android用户，这两个服务器会根据装置及浏览器版本的不同，而开采相关的零时差漏洞。

这次骇客开采的7个零时差漏洞包括Chrome的Freetype堆积缓冲区溢位漏洞CVE-2020-15999、Chrome的TurboFan地图弃用中的类型混淆漏洞CVE-2020-16009、Chrome for Android的堆积缓冲区溢位漏洞CVE-2020-16010、Safari的任意堆栈读写漏洞CVE-2020-27930、Windows cng.sys的堆积缓冲区溢位漏洞CVE-2020-17087、iOS的XNU核心内存揭露漏洞CVE-2020-27950，以及iOS核心的类型混淆漏洞CVE-2020-27932。

在锁定Windows与iOS的开采服务器中，骇客利用了CVE-2020-27930 、CVE-2020-15999、CVE-2020-16009、CVE-2020-27950、CVE-2020-17087与CVE-2020-27932等6个漏洞，在锁定Android的开采服务器中则利用了CVE-2020-15999与CVE-2020-16010等两个零时差漏洞，以及另一个已被揭露多时的Chrome for Android沙箱逃逸漏洞。

Google Project Zero安全研究人员Maddie Stone指出，骇客替不同操作系统与浏览器的组合量身打造了开采机制，每种机制都部署了混淆及反分析检查，有趣的是，虽然这两个服务器都利用了Chrome漏洞CVE-2020-15999来开采Windows与Android，但其攻击程式的程式码却相当不同，而且两个服务器关闭的时间不同，使得他们认为这两个服务器可能是由不同的团队所建立，但却是彼此合作的。

值得注意的是，该骇客组织所使用的技巧高超。Stone表示，每个开采程式都展现了骇客具备如何开采漏洞以及如何打造攻击程式的专家知识，在开采Chrome Freetype零时差漏洞（CVE-2020-15999）所使用的方法上，对Project Zero而言也是非常新奇的；要找出如何触发iOS核心之权限漏洞的程序也并非易事；且骇客所使用的混淆手法不仅多样化，也需要花费很多的时间才能找到。

Project Zero并未公布此一骇客组织从哪而来，亦未披露遭到锁定的攻击对象。

在2019年时，坊间即出现了20个零时差漏洞，而这些漏洞都是在已经被开采且有攻击程式现身时才被发现，零时差漏洞或许无可避免，但Project Zero团队显然希望资安社群能够加快侦测零时差漏洞攻击程式的脚步，以缩短骇客利用相关漏洞的时间，尽量将零时差漏洞所带来的危害减到最低，因而开始研究并公布零时差漏洞攻击程式的细节，以协助资安社群理解骇客的能力及所使用的手法。