微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞,这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用,黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者,但攻击者使用的部分代码与拉撒路集团有相似性。
利用漏洞攻击韩语新闻网站加载恶意软件:
卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本,当用户浏览该网站时就会加载该脚本。
而这个恶意脚本里有代码是专门针对Google Chrome 的,黑客利用的漏洞是谷歌官方此前并未发现的零日漏洞。
恶意脚本被加载后会再调用Win32K 安全漏洞下载并安装恶意软件,该恶意软件会自动连接远程服务器获取指令。
也就是说主要用户浏览这个韩语网站就会被感染恶意软件,在这期间不需要用户执行任何交互动作即可完成攻击。
#攻击者将恶意脚本伪装成流行的jQuery库 卡巴斯基称这次攻击事件为Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script>
潜在攻击者可能是拉撒路集团:
卡巴斯基在经过溯源和分析后表示没有确切证据能够将此次攻击事件与任何已知的高级持续性威胁团体关联起来。
但攻击者使用的相关代码与拉撒路集团有非常弱的相似性,这表明潜在的攻击团体可能是名声在外的拉撒路集团。
拉撒路集团曾发动过多次知名的网络攻击,包括WannaCry勒索软件、孟加拉国家银行失窃案、远东银行失窃案。
而该集团也被证实是北韩资助的国家级黑客组织,这次攻击的载体是韩语新闻网站也就是说主要目标是韩国用户。
因此按常理推测的话此次攻击是拉撒路集团发动的可能性非常大,不过卡巴斯基称暂时没有足够多的确切的证据。
卡巴斯基认为相关攻击代码与拉撒路集团有非常弱的相似性也可能是其他攻击者试图将调查视线转到拉撒路身上。
微软已经在例行更新中修复漏洞:
事实上这次安全漏洞不仅影响Windows 10, 据微软官方说明所有受支持的Windows版本包括服务器版均受影响。
出现安全漏洞的依然是最近非常热门的Win32K 组件,该组件从去年年底到现在已经被发现多个高危的零日漏洞。
微软表示攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。
受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。
当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。
不过这些已经停止支持的版本并没有安全更新用于修复漏洞,所以建议用户们还是尽早升级受支持的版本比较好。
谷歌也已经修复零日漏洞:
这次攻击者同时利用Windows操作系统和Google Chrome漏洞比较罕见,不过现在这个漏洞利用方式已被封堵。
谷歌浏览器开发团队在接到卡巴斯基报告后已经及时修复漏洞,用户只要开启自动更新就可以自动升级到最新版。
目前谷歌浏览器在国内已经部署服务器可以提供更新,用户也可以点击这里访问中国官网下载谷歌浏览器安装包。