卡巴斯基：PuzzleMaker骇客串连Chrome与Windows 10漏洞对全球企业展开攻击

资安业者卡巴斯基（Kaspersky）周二（6/8）揭露了PuzzleMaker骇客集团在今年4月15日及16日所进行的攻击行动，指出PuzzleMaker串连了微软与Google Chrome的3个零时差漏洞，针对多家企业展开目标式攻击。而Google已于4月修补了相关漏洞，微软也已在本周二修补遭到PuzzleMaker开采的两个漏洞。

根据卡巴斯基的调查，PuzzleMaker的所有攻击都是借由Chrome浏览器执行的，不过该团队未能取得完整的攻击程式，因此只能根据功能及时间来猜测PuzzleMaker所利用的Chrome零时差漏洞，是Google在今年4月20日借由Chrome 90.0.4430.72所修补的CVE-2021-21224漏洞。

而PuzzleMaker所开采的其它两个漏洞，则是微软的CVE-2021-31955与CVE-2021-31956。这两个漏洞是微软在本周修补的5个已被开采漏洞的其中两个，CVE-2021-31955为Windows核心的资讯揭露漏洞，可外泄Windows核心内存中的内容，CVE-2021-31956则是存在于NTFS的权限扩张漏洞，成功的开采将允许骇客掌控系统。

卡巴斯基指出，其实CVE-2021-31955漏洞几年前就出现在GitHub上了（如下图所示），只是今年才被发现用于实际攻击。

图片来源_卡巴斯基

不过，卡巴斯基迄今都不确定PuzzleMaker所开采的Chrome漏洞，只能从时间点与事件来猜测。根据研究人员的分析，于今年4月6日至8日举行的Pwn2Own骇客会议上，有一参赛团队利用了Typer Mismatch漏洞成功开采了Chrome，4月12日便有Chromium开发者提交了issue 1196683与issue 1195777来修补两个与Typer Mismatch有关的漏洞，其中，issue 1196683修补的是在Pwn2Own会议上被揭露的CVE-2021-21220漏洞，issue 1195777则是修补另一个Typer Mismatch漏洞CVE-2021-21224 。

研究人员原本以为骇客是开采了issue 1196683所修补的CVE-2021-21220漏洞，不过，Google是在4月13日释出的Chrome 89.0.4389.128就修补了CVE-2021-21220，但攻击行动却是出现在4月15日及16日，而对CVE-2021-21224的修补则是现身于4月20日，因而猜测CVE-2021-21224才是遭到PuzzleMaker利用的漏洞。

卡巴斯基并没有公布PuzzleMaker的攻击目标对象或企图，仅说相关攻击先是进驻受害系统，再连结命令暨控制服务器以下载更多的恶意程式，借由远端的Shell模组来下载与上传档案、建立程序，还能设定蛰伏时间并删除自己。

 参考资料 

微软Patch Tuesday修补资讯（2021-06-09公告）：https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun

Google修补Chrome的CVE-2021-21224漏洞（2021-04-20公告）：https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

Google修补Chrome的CVE-2021-21220漏洞（2021-04-13公告）：https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html