奇安信独家捕获在野完整Chrome浏览器漏洞利用攻击链
0Day
近日,奇安信威胁情报中心旗下红雨滴团队基于红雨滴云沙箱和蜜罐系统,在全球范围内独家监测到多例组合使用Chrome浏览器和Windows内核提权漏洞的定向攻击。
据悉,本次攻击能够穿透Chrome浏览器沙盒,同时获取Windows系统内核权限,从而实现远程执行任意代码,对用户危害极大。
分析发现,此次捕获到的在野漏洞利用行为疑似今年6月8日由卡巴斯基披露的PuzzleMaker组织针对多家公司攻击活动中所使用的漏洞攻击链,但而当时的相关研究人员并未还原完整的攻击链,也暂未捕获带有完整漏洞利用的JavaScript代码。
奇安信首次捕获到在野的完整漏洞利用攻击链,实现了基于威胁情报和流量分析的在野Chrome浏览器漏洞攻击检测的突破。
红雨滴团队复现的在野Chrome穿透沙盒漏洞利用视频如下:
目前,天眼新一代安全感知系统、天擎终端安全管理系统、NGSOC、TIP威胁情报平台、智慧防火墙等全线奇安信攻击检测类产品, 都已经支持对此威胁的检测,用户可以升级相关的设备到最新的版本和规则库。
值得关注的是,这并非奇安信首次捕获在野0day漏洞的利用行为。在过去的一年时间内,红雨滴团队曾多次捕获涉及多个安全产品、企业办公软件的0day漏洞、数字证书等被境外APT团伙利用的行为。
并且,0day漏洞的在野利用正呈飞速上升的趋势。据奇安信威胁情报中心发布的《全球高级持续性威胁(APT)2021年中报告》显示,仅2021年上半年,PT组织在野利用的0day漏洞数量超过40个,在网络安全历史上堪称空前。而且,这种攻击呈现出“以Windows平台为基础,Chrome/Safari浏览器为主流向着多平台延伸”的趋势。
目前,奇安信威胁情报中心已累计首发并命名13个国内外APT组织,监测到的针对国内发动APT攻击的黑客组织达到46个。依托多年的威胁分析研判经验积累和大数据处理技术,在IDC等多个国际权威机构发布的分析报告中,奇安信威胁情报排名均位居前列。
