在野利用的0day漏洞

野外系列介绍

在Project Zero，我们经常把我们的目标简单地称为 "让0天变得更难"。团队成员主要通过进攻性安全研究的角度来处理这一挑战。而我们为了保持在该领域的领先地位，会经常实验新的目标和方法，但重要的是，团队不能偏离当前的技术水平太远。我们在这方面的努力之一是跟踪公开的已知零日漏洞案例。我们利用这些信息来指导研究工作。遗憾的是，公开的零日报告很少包括捕获的漏洞，而这些漏洞可以为现实世界中的攻击者所做的利用技术和设计决策提供宝贵的见解。此外，我们认为安全社区在检测0天漏洞的能力方面存在差距。

因此，Project Zero最近发起了我们自己的倡议，旨在研究在野外检测0天漏洞的新方法。通过与谷歌威胁分析小组（TAG）合作，该倡议的首批成果之一是发现了一个高度复杂的行为者在2020年第一季度实施的水洞攻击。

我们发现了两台利用服务器，通过水洞攻击提供不同的利用链。其中一台服务器针对Windows用户，另一台针对Android用户。Windows和Android服务器都使用Chrome漏洞进行初始远程代码执行。Chrome和Windows的漏洞包括0天。对于Android，利用链使用了公开已知的n天利用。根据行为人的复杂程度，我们认为他们很有可能获得了Android 0-day，但我们在分析中没有发现任何漏洞。

从漏洞服务器中，我们提取了。

渲染器利用Chrome浏览器中的四个漏洞 其中一个在被发现时还是0day漏洞

两个滥用Windows中三个0-day漏洞的沙箱逃逸漏洞。

一个 "特权升级包"，由公开已知的n-day漏洞组成，适用于旧版本的Android。

这些链中发现的4个0日漏洞已被相关厂商修复。

CVE-2020-6418--TurboFan的Chrome漏洞（2020年2月修复）。

CVE-2020-0938 - Windows上的字体漏洞 (2020年4月修复)

CVE-2020-1020 - Windows上的字体漏洞 (2020年4月修复)

CVE-2020-1027 - Windows CSRSS漏洞 (2020年4月修复)

我们了解到这个攻击者正在操作一个复杂的目标基础设施，尽管它似乎并不是每次都被使用。在某些情况下，攻击者使用初始渲染器利用，从沙盒内部开发用户的详细指纹。在这些情况下，攻击者采取了一种较慢的方法：从终端用户的设备上发回几十个参数，然后再决定是否继续进行进一步的利用，并使用沙箱逃脱。在其他情况下，攻击者会选择直接完全利用系统（或者根本不尝试任何利用）。在服务器被关闭之前的时间里，我们无法确定是什么参数决定了 "快 "或 "慢 "的利用路径。

Project Zero团队走到一起，花了好几个月的时间，详细分析了收集到的链子的每一部分。我们学到了什么？这些开发链是通过其模块化设计来提高效率和灵活性。它们是经过精心设计的复杂代码，具有各种新颖的利用方法、成熟的日志记录、复杂和计算的后利用技术，以及大量的反分析和目标检查。我们相信，这些利用链都是由专家团队设计和开发的。我们希望本系列博文能让其他人从一个真实的、成熟的、大概是资源充足的行为者那里深入了解利用。

本系列的文章分享了利用链不同部分的技术细节，主要集中在我们团队认为最有趣的地方。我们的内容包括

详细分析被利用的漏洞和每一种不同的利用技术。

深入探究Chrome漏洞之一的BUG类，并。

对安卓系统漏洞后的代码进行深度拆解。

此外，我们还将发现的4个0日作为这些利用链的一部分，分别发布根源分析。

抛开开发不谈，有效载荷的模块化、可互换的利用链、日志、目标和该行为人操作的成熟度都让这些与众不同。我们希望通过公开分享这些信息，继续缩小私人利用（资源充足的利用团队在现实世界中的所作所为）与公开所知之间的知识差距。