Chrome-day漏洞被用于监控活动-0 (chrome下载)

Chrome 0 day漏洞被用于Candiru监控恶意软件。

研究人员发现以色列监控软件厂商Candiru使用谷歌Chrome 浏览器0 day漏洞来监控位于中东地区的记者和特殊人群。

CVE-2022-2294漏洞是Chrome浏览器中WebRTC的基于堆的缓存溢出高危安全漏洞，成功利用该漏洞后可以在目标设备上实现任意代码执行。

7月4日，谷歌修复了该0 day漏洞，并称该漏洞已经有在野漏洞利用，但未提供漏洞利用的进一步细节。

7月21日，发现该漏洞的安全厂商Avast发布公开报告分析了该漏洞的利用情况。Avast称经过分析发现，Candiru自2022年3月就开始利用该漏洞攻击位于黎巴嫩、土耳其、也门和巴勒斯坦的用户。

在攻击活动中，Candiru使用了水坑攻击技术，用户访问被黑的网站后就会利用浏览器中的未知漏洞来感染监控恶意软件。

整个攻击过程是无需交互的。唯一需要做的是用Chrome浏览器或基于Chromium的浏览器打开一个网站。打开的网站可以是被入侵的合法网站，也可以是攻击者自己创建的网站。

在一起攻击活动中，攻击者入侵了黎巴嫩新闻机构的网站，并植入了一段JS代码。代码可以发起XSS攻击，并重路由有效目标到利用 服务器 。

图 注入代码来从远程资源加载JS

受害者到服务器后，就会服务器用大约50个数据点进行画像。如果目标被认为是有效的，那么久会建立关于0 day漏洞利用的加密数据交换。

收集的信息包括受害者计算机所用的语言、时区、设备信号、浏览器插件、设备内存、cookie功能等。

在黎巴嫩的攻击案例中，0 day漏洞利用可以实现Shellcode执行，并可以与另一个沙箱逃逸漏洞相结合实现其他功能。

在初始感染后，攻击者使用一个BYOVD（自带驱动）步骤来进行权限提升，并获取入侵设备内存的读写权限。

图 BYOVD漏洞利用中使用的有漏洞的ICOTL handler

研究人员发现Candiru使用的BYOVD也是一个0 day漏洞。目前还不清楚攻击者的目标数据是什么，但研究人员认为攻击者可以通过漏洞利用了解记者等检索的信息，以达到监控的目的。

因为该漏洞位于WebRTC中，因此也影响苹果Safari浏览器。但目前研究人员只在Windows机器上发现了漏洞利用。

本文翻译自：

什么是“极光”漏洞

极光漏洞 1月20日，江民恶意网页监控系统监测到，上周五被确认的微软IE“极光漏洞”攻击代码已被黑客大面积利用，网上已出现数百个利用该漏洞的恶意网页，提醒广大电脑用户谨防遭受利用该漏洞的病毒攻击。 上周，微软官方发布了Microsoft Security Advisory ()安全公告，确认在IE6/7/8版本中，存在零日漏洞，涉及的操作系统包括：Windows 2000 SP4, Windows XP/2003/Vista/2008，Windows 7。 微软在安全公告中表示，IE在特定情况下，有可能访问已经被释放的内存对象导致任意代码执行，该漏洞可以被用来进行网页挂马。 该漏洞即后来被称为“Aurora”（极光）的零日漏洞。 江民反病毒专家1月18日表示，由于该漏洞涉及的操作系统和IE浏览器版本众多，而且至今微软并没有发布针对该漏洞的补丁，因此一旦攻击代码被公开，必将被黑客广泛应用于网页挂马。 截止到1月20日，不到两天的时间内，网上出现了数百个利用该漏洞的恶意网页，保守估计至少十万台电脑遭受利用该漏洞的病毒攻击。 江民反病毒专提醒用户，上网浏览时务必不要随意点击网上的不明链接，开启杀毒软件主动防御和网页监控功能。 对操作系统较熟悉的用户，可以参照微软的临时解决方案，以进一步保障电脑上网安全。 此外，微软最新消息表示，将于明日（1月21日）公布发布紧急补丁时间表，请广大电脑用户密切关注该补丁并及时下载安装。 微软临时解决方案：WINXP（IE6）用户，打开IE浏览器“工具”——“InterNet选项”，打开“安全”，选择“Internet”——“自定义级别”，选择“禁止脚本”和“禁止ACTIVEX选项”，VISTA（IE7）和WINDOWS7（IE8）用户，除了执行以上操作外，还可以开启数据执行保护功能（DEP保护），可以一定程度上减少系统遭受“极光”漏洞病毒攻击。 1月22日凌晨2时左右，微软如期发布了“极光”零日漏洞补丁，这距离1月15日该漏洞被首次发现已过去了一周的时间。 昨日，微软在官方博客上发表消息，并史无前列地向所有MAPP成员发出通知，告知将于美国时间1月21日10时，也即北京时间1月22日凌晨2时左右发布非常规补丁，修复“极光”零日漏洞。 （附：黑客在网页里面附带利用漏洞、调用下载木马的代码。 当访问者使用IE访问该网页，并且访问者未修复该漏洞，则漏洞代码会正常运行，产生溢出，跳转到shellcode执行恶意下载木马、运行木马的行为。 杀毒软件只可能检测到木马运行行为或发现木马，对漏洞利用不能对付。 因此修复漏洞是必须的。 ） 最简单的方法是装个360安全卫士来修复

为什么windows补丁打不上去？

windoes版本太低了，到主页去下载个高点的第一个 安全公告号:MS06-006漏洞名称:用于非 Microsoft Internet 浏览器的 Windows Media Player 插件中的漏洞可能允许远程执行代码微软名称:KB漏洞的影响:远程执行代码如果计算机上安装了用于非 Microsoft Internet 浏览器的 Microsoft Windows Media Player 插件，则易出现按装失败第二个 安全公告号:MS07-047漏洞名称:Windows Media Player 中的漏洞可能允许远程执行代码 ()微软名称:KB漏洞的影响:远程执行代码这是针对受支持版本 Windows Media Player 7.1、9、10 的重要安全更新,安装不成功或许是Windows Media Player 安装不正确的原因对症下药以完成补丁更新

蠕虫和普通病毒的区别 以及对蠕虫病毒的防范措施

可以安装一些杀毒软件在电脑上如电脑管家一类的，然后一直保持开启这样就可以预防病毒进入到电脑当中了