谷歌威胁分析团队指出,在西欧政府官员的渗透活动中,SolarWinds 黑客使用旧版 iOS 在系统中发现了一个新的零日漏洞。周三的报告透露,攻击还利用了领英(LinkedIn)向政府官员发送信息。如果受害者在 iPhone 如果在上面访问特定的链接,它将被重定向具有初始恶意负载的域名。
在满足多项“验证检查”后,SolarWinds 黑客会用 CVE-2021-1879 漏洞下载最终有效载荷,并用于绕过某些安全防护措施。
例如,关闭同源防护策略(Same-Origin-Policy)、或者其他安全功能可以防止恶意脚本在本地网络上收集数据。
这样,攻击者就可以收集谷歌、微软、凌英、脸书、雅虎等网站手机的身份验证信息,并将其发送到受黑客控制的 IP 地址。
不过 Maddie Stone 和 Clement Lecigne 写道:“受害者需要通过 Safari 只有通过访问精心制作的网站,黑客才能成功渗透其 cookie ”。
幸运的是,苹果今年3月修复了这个漏洞。如果你的操作受到影响, iOS 12.4 - 13.7 版本,请及时补丁设备。
此外通过使用支持站点隔离功能的浏览器(比如 Chrome 或 Firefox),这种情况也可以避免“同源策略”攻击。
最后,尽管谷歌没有披露幕后黑手的真实身份,但 ArsTechnica 已将攻击者确定为 Nobelium(2019年 SolarWinds 黑客攻击背后是同一个团队)。