APT使用的10類安全漏洞

劉鍥

APT攻擊，即：高級(jí)持續(xù)性威脅（Advanced Persistent Threat）是利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級(jí)和先進(jìn)，其主要體現(xiàn)在精確的信息收集、高度的隱蔽性以及使用各種復(fù)雜的目標(biāo)系統(tǒng)或應(yīng)用程序漏洞等方面。

為了能夠更加全面的了解全球APT研究的前沿成果，360威脅情報(bào)中心對APT攻擊中最重要的部分（APT組織所使用的安全漏洞）進(jìn)行了梳理，結(jié)合360威脅情報(bào)中心對APT攻擊這類網(wǎng)絡(luò)戰(zhàn)的理解，篩選出近年來APT組織所使用的10類安全漏洞。

1.防火墻設(shè)備漏洞

防火墻作為網(wǎng)絡(luò)邊界設(shè)備，通常不屬于攻擊者攻擊的目標(biāo)，尤其在APT領(lǐng)域中針對防火墻設(shè)備的漏洞就更為少見，直到2016年第一批Shadow Broker泄露的工具中大量針對防火墻及路由設(shè)備的工具被曝光，某些組織多年來直接攻擊邊界設(shè)備的活動(dòng)才被徹底曝光，此處我們選擇CVE-2016-6366作為這類漏洞的典型代表。

（1）漏洞概述

2016年8月13日黑客組織ShadowBrokers聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的黑客團(tuán)隊(duì)Equation Group，并公開其內(nèi)部使用的相關(guān)工具，EXBA-extrabacon工具，該工具基于0-day漏洞CVE-2016-6366，為Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞。

（2）漏洞詳情

CVE-2016-6366（基于Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞），目標(biāo)設(shè)備必須配置并啟用SNMP協(xié)議，同時(shí)必須知道SNMP的通信碼，漏洞執(zhí)行之后可關(guān)閉防火墻對Telnet/SSH的認(rèn)證，從而允許攻擊者進(jìn)行未授權(quán)的操作。

（3）補(bǔ)丁及解決方案

及時(shí)更新網(wǎng)絡(luò)邊界設(shè)備固件，軟件廠商思科已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。篽ttps：//blogs.cisco.com/security/shadow-brokers。

2. SMB通信協(xié)議漏洞

SMB（Server MessageBlock）通信協(xié)議是微軟和英特爾在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。2017年4月14日ShadowBrokers公布了之前泄露文檔中出現(xiàn)的Windows相關(guān)部分的文件，該泄露資料中包含了一套針對Windows系統(tǒng)相關(guān)的遠(yuǎn)程代碼利用框架（涉及的網(wǎng)絡(luò)服務(wù)范圍包括SMB、RDP、IIS及各種第三方的郵件服務(wù)器），其中一系列的SMB遠(yuǎn)程漏洞0-day工具（EternalBlue，Eternalromance，Eternalchampoin和Eternalsynergy）之后被集成到多個(gè)蠕蟲家族中，同年5月12日爆發(fā)的WanaCry當(dāng)時(shí)就集成了EternalBlue。

（1）漏洞概述

EternalBlue工具使用了SMB協(xié)議中的三處漏洞，其中主體的越界內(nèi)存寫漏洞隸屬于微軟MS17-010補(bǔ)丁包中的CVE-2017-0144，通過該集成的工具，攻擊者可以直接遠(yuǎn)程獲取漏洞機(jī)器的控制權(quán)限。

（2）漏洞詳情

EternalBlue中的核心了漏洞為CVE-2017-0144，該漏洞通過SMB協(xié)議的SMB_COM_TRANSACTION2命令觸發(fā)，當(dāng)其中的FEALIST字段長度大于10 000時(shí)將導(dǎo)致內(nèi)存越界寫，由于SMB_COM_TRANSACTION2命令本身FEA LIST的長度最大為FFFF，因此這里就涉及到第二處漏洞，即SMB_COM_ TRANSACTION2可被混淆為SMB_COM_NT_TRANSACT，從而實(shí)現(xiàn)發(fā)送一個(gè)FEA LIST字段長度大于10 000的SMB_COM_TRANSACTION2命令，實(shí)現(xiàn)越界寫，最后通過第三個(gè)漏洞進(jìn)行內(nèi)存布局，最終實(shí)現(xiàn)代碼執(zhí)行。

（6）補(bǔ)丁解決方案

及時(shí)更新操作系統(tǒng)補(bǔ)丁，軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)丁：https：//docs.microsoft.com/zh-cn/security-updates/ Securitybulletins/2017/ms17-010。

3. Office OLE2Link邏輯漏洞

Office OLE2Link是微軟辦公軟件（Office）中的一個(gè)重要特性，它允許Office文檔通過對象鏈接技術(shù)在文檔中插入遠(yuǎn)程對象，在文檔打開時(shí)自動(dòng)加載處理。由于設(shè)計(jì)不當(dāng)，在這個(gè)處理過程中出現(xiàn)了嚴(yán)重的邏輯漏洞，而我們選擇CVE-2017-0199為這類漏洞的典型代表。

（1）漏洞概述

2017年4月7日McAfee與FireEye的研究員爆出微軟OfficeWord的一個(gè)0-day漏洞的相關(guān)細(xì)節(jié)（CVE-2017-0199）。攻擊者可以向受害人發(fā)送一個(gè)帶有OLE2link對象附件的惡意文檔，誘騙用戶打開。當(dāng)用戶打開惡意文檔時(shí)，Office OLE2Link機(jī)制在處理目標(biāo)對象上沒有考慮相應(yīng)的安全風(fēng)險(xiǎn)，從而下載并執(zhí)行惡意HTML應(yīng)用文件（HTA）。

（2）漏洞詳情

CVE-2017-0199利用了OfficeOLE2Link對象鏈接技術(shù)，將惡意鏈接對象嵌入在文檔中，之后調(diào)用URL Moniker將惡意鏈接中的HTA文件下載到本地，URLMoniker通過識(shí)別響應(yīng)頭中content-type的字段，最終調(diào)用mshta.exe執(zhí)行HTA文件中的攻擊代碼。

在影響面方面，CVE-2017-0199幾乎影響了所有版本的Office軟件，是歷來Office漏洞中影響面最廣的漏洞之一，并且易于構(gòu)造，觸發(fā)穩(wěn)定，這使得其在2017年的BlackHat黑帽大會(huì)上被評為“最佳”客戶端安全漏洞。

（3）補(bǔ)丁及解決方案

盡量不要打開來源不明的文檔，也可以使用360安全衛(wèi)士之類的防病毒軟件對文檔進(jìn)行掃描后再打開以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0199；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-8570。

4. Office公式編輯器漏洞

Microsoft公式編輯器（EQNEDT32.EXE），該組件首發(fā)于Microsoft Office 2000和Microsoft 2003，以用于向文檔插入和編輯方程式，雖然從Office 2007之后，方程式相關(guān)的編輯發(fā)生了變化，但為了保持版本的兼容性，EQNEDT32.EXE本身也沒有從Office套件中刪除。而該套件自17年前編譯之后就從未被修改，這就意味著其沒有任何安全機(jī)制（ASLR，DEP，GS cookies…）。并且由于EQNEDT32.EXE進(jìn)程使用DCOM方式啟動(dòng)而獨(dú)立于Office進(jìn)程，從而不受Office高版本的沙盒保護(hù)，所以該類漏洞具有天生“繞過”沙盒保護(hù)的屬性，危害巨大。此處我們選擇該組件下發(fā)現(xiàn)的第一個(gè)漏洞CVE-2017-11882作為該類漏洞的典型。

（1）漏洞概述

2017年11月14日，Embedi發(fā)布博文《Skeletonin the closet. MS Office vulnerability you didnt know about》，該文章就EQNEDT32.EXE中出現(xiàn)的CVE-2017-11882漏洞的發(fā)現(xiàn)和利用進(jìn)行了分析，CVE-2017-11882為公式Font Name字段解析時(shí)的緩沖區(qū)溢出漏洞，通過構(gòu)造帶有非法公式的Doc/RTF文檔，可導(dǎo)致代碼執(zhí)行。

（2）漏洞詳情

CVE-2017-11882為一處棧溢出漏洞，其Font Name字段最終會(huì)導(dǎo)致棧溢出，返回地址被覆蓋為00430c12，該地址指向 WinExe函數(shù)，父函數(shù)第一個(gè)參數(shù)正好指向構(gòu)造字符，從而導(dǎo)致WinExe執(zhí)行構(gòu)造字符中的命令。

（3）補(bǔ)丁及解決方案

個(gè)人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-11882；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2018-0802；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2018-0798。

5. OOXML類型混淆漏洞

OOXML是微軟公司為Office2007產(chǎn)品開發(fā)的技術(shù)規(guī)范，現(xiàn)已成為國際文檔格式標(biāo)準(zhǔn)，兼容前國際標(biāo)準(zhǔn)開放文檔格式和中國文檔標(biāo)準(zhǔn)“標(biāo)文通”，Office富文本中本身包含了大量的XML文件，由于設(shè)計(jì)不當(dāng)，在對其中的XML文件進(jìn)行處理的時(shí)候，出現(xiàn)了嚴(yán)重的混淆漏洞，最典型的包括CVE-2015-1641，CVE-2017-11826，這里我們選擇近年來最流行的OOXML類型混淆漏洞CVE-2015-1641作為典型代表。

（1）漏洞概述

2015年4月，微軟修補(bǔ)了一個(gè)CVE編號(hào)為CVE-2015-1641的Office Word類型混淆漏洞。OfficeWord在解析Docx文檔displacedByCustomXML屬性時(shí)未對customXML對象進(jìn)行驗(yàn)證，造成類型混淆，導(dǎo)致任意內(nèi)存寫，最終經(jīng)過精心構(gòu)造的標(biāo)簽以及對應(yīng)的屬性值可以造成遠(yuǎn)程任意代碼執(zhí)行。這是第一個(gè)利用成功率非常高且被APT組織頻繁使用的OOXML類型混淆漏洞。

（2）漏洞詳情

CVE-2015-1641中，由于OfficeWord沒有對傳入的custom XML對象進(jìn)行嚴(yán)格的校驗(yàn)，導(dǎo)致可以傳入比如smartTag之類的對象，然而smartTag對象的處理流程和customXML并不相同，如果customXML標(biāo)簽被smartTag標(biāo)簽通過某種方法混淆解析，那么smartTag標(biāo)簽中的element屬性值會(huì)被當(dāng)作是一個(gè)地址，隨后經(jīng)過簡單的計(jì)算得到另一個(gè)地址。最后處理流程會(huì)將moveFromRangeEnd的id值覆蓋到之前計(jì)算出來的地址中，導(dǎo)致任意內(nèi)存寫入。然后通過寫入可控的函數(shù)指針，以及通過Heap Spray精心構(gòu)造內(nèi)存布局，最終導(dǎo)致代碼執(zhí)行。

（6）補(bǔ)丁及解決方案

個(gè)人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-8570。

6.腳本解析漏洞EPS（EncapsulatedPost Script）

EPS全稱EncapsulatedPost Script，屬于Post Script的延伸類型，適用于在多平臺(tái)及高分別率輸出設(shè)備上進(jìn)行色彩精確的位圖及向量輸出，因此在Office中也引進(jìn)了相應(yīng)的支持，但是自2015年起多個(gè)Office中EPS相關(guān)的漏洞被利用，其中包括CVE-2015-2545，CVE-2017-0261，CVE-2017-0262，最終導(dǎo)致微軟不得不禁用Office中的EPS組件，此處們選擇以CVE-2017-0262作為典型代表。

（1）漏洞概述

2017年5月7日FireEye研究員在文章《EPSProcessing Zero-Days Exploited by Multiple Threat Actors》中披露了多個(gè)EPS0-day漏洞的在野利用，其中就包含CVE-2017-0262，CVE-2017-0262為ESP中forall指令中的一處漏洞，由于forall指令對參數(shù)校驗(yàn)不當(dāng)，導(dǎo)致代碼執(zhí)行。

（2）漏洞詳情

CVE-2017-0262的利用樣本中首先對實(shí)際的EXP進(jìn)行了四字節(jié)的xor編碼，key為c45d6491。

漏洞的關(guān)鍵點(diǎn)在于以下一行的代碼，在EPS中forall指令會(huì)對第一個(gè)參數(shù)中的每一個(gè)對象執(zhí)行處理函數(shù)proc（即第二個(gè)參數(shù)），此處由于對第二個(gè)參數(shù)的類型判斷不嚴(yán)格，導(dǎo)致0xD80D020這個(gè)攻擊者之前通過堆噴控制的內(nèi)存地址被作為處理函數(shù)的地址，從而esp堆棧被控制，致使最后的代碼執(zhí)行。

（3）補(bǔ)丁及解決方案

個(gè)人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2015-2545；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0261；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0262。

7. Windows提權(quán)漏洞

近年來針對Windows客戶端的漏洞攻擊越來越多，這直接導(dǎo)致各大廠商對其客戶端軟件引入了“沙盒”保護(hù)技術(shù)，其核心思想即是將應(yīng)用程序運(yùn)行在隔離環(huán)境中，隔離環(huán)境通常是一個(gè)低權(quán)限的環(huán)境，也可以把沙盒看做是一個(gè)虛擬的容器，讓不是很安全的程序在運(yùn)行的過程時(shí)候，即便客戶端軟件遭受惡意代碼的入侵也不會(huì)對使用者的計(jì)算機(jī)系統(tǒng)造成實(shí)際的威脅。

引入了“沙盒”保護(hù)的?？蛻舳顺绦蛴校篒E/Edge瀏覽器、Chrome瀏覽器、Adobe Reader以及微軟Office辦公軟件等。而客戶端程序漏洞如果配合Windows提權(quán)漏洞則可以穿透應(yīng)用程序“沙盒”保護(hù)。

（1）漏洞概述

在對Office辦公軟件的EPS（EncapsulatedPost Script）組件進(jìn)行漏洞攻擊的過程中，由于Office 2010及其高版本上的EPS腳本過濾器進(jìn)程fltldr.exe被保護(hù)在低權(quán)限沙盒內(nèi)，要攻破其中的低權(quán)限沙盒保護(hù)措施，攻擊者就必須要使用遠(yuǎn)程代碼執(zhí)行漏洞配合內(nèi)核提權(quán)漏洞進(jìn)行組合攻擊。所以這里選擇Win32k.sys中的本地權(quán)限提升漏洞（CVE-2017-0263）這一個(gè)配合EPS類型混淆漏洞（CVE-2017-0262）進(jìn)行組合攻擊的提權(quán)漏洞作為典型代表。

（2）漏洞詳情

CVE-2017-0263漏洞利用代碼首先會(huì)創(chuàng)建三個(gè)Popup Menus，并添加相應(yīng)的菜單。由于該UAF漏洞出現(xiàn)在內(nèi)核的WM_NCDESTROY事件中，并會(huì)覆蓋wnd2的tagWnd結(jié)構(gòu)，這樣可以設(shè)置bServerSideWindowProc標(biāo)志。一旦設(shè)置了bServer Side Window Proc，用戶模式的WndProc過程就會(huì)被視為內(nèi)核回調(diào)函數(shù)，所以會(huì)從內(nèi)核上下文中進(jìn)行調(diào)用。而此時(shí)的WndProc則被攻擊者替換成了內(nèi)核ShellCode，最終完成提權(quán)攻擊。

（3）補(bǔ)丁及解決方案

個(gè)人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2015-2546；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2016-7255；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0001；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0263。

8. Flash漏洞

Flashplayer因?yàn)槠淇缙脚_(tái)的普及性，一直為各個(gè)APT組織所關(guān)注，從2014年起，F(xiàn)lash漏洞開始爆發(fā)，尤其到2015年，HackingTeam泄露數(shù)據(jù)中的兩個(gè)0-day漏洞CVE-2015-5122，CVE-2015-5199，F(xiàn)lash漏洞相關(guān)的利用技術(shù)公開，F(xiàn)lash漏洞開始成為APT組織的新寵，盡管之后Adobe和Google合作，多個(gè)Flash安全機(jī)制陸續(xù)出爐（如隔離堆，vectorlength檢測），大大提高了Flash漏洞利用的門檻，但也不乏出現(xiàn)CVE-2015-7645這一類混淆漏洞的怪咖。這里選擇不久前發(fā)現(xiàn)的在野0-day CVE-2018-4878作為這類漏洞的典型代表。

（1）漏洞概述

2018年1月31日，韓國CERT發(fā)布公告稱發(fā)現(xiàn)Flash0day漏洞（CVE-2018-4878）的野外利用，攻擊者通過發(fā)送包含嵌入惡意Flash對象的Office Word附件對指定目標(biāo)進(jìn)行攻擊。

（2）漏洞詳情

CVE-2018-4878通過Flash om.adobe.tvsdk包中的DRMManager對象進(jìn)行攻擊，例如：triggeruaf函數(shù)中創(chuàng)建一個(gè)MyListener對象，通過initialize進(jìn)行初始化，并將該實(shí)例設(shè)置為null，之后的第一個(gè)LocalConnection（）.connect（）會(huì)導(dǎo)致gc回收該實(shí)例內(nèi)存，第二次LocalConnection（）.connect（）時(shí)觸發(fā)異常，在異常處理中會(huì)創(chuàng)建一個(gè)新的MyListener實(shí)例，內(nèi)存管理器會(huì)將之前MyListener對象實(shí)例的內(nèi)存分配給新對象，即此處的danglingpointer，設(shè)置timer，在其回調(diào)函數(shù)中檢測uaf是否觸發(fā)，成功則通過Mem_Arr進(jìn)行站位。

（3）補(bǔ)丁及解決方案

個(gè)人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

adobe已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https ： / /help x.adob e.com/security/products/flash-player/ apsb18-03.html；

https ： //helpx.adobe .com/security/products/flash-player/ apsb17-32.html。

9. iOS三叉戟漏洞

iOS三叉戟漏洞是目前唯一一個(gè)公開披露的針對iOS系統(tǒng)瀏覽器的遠(yuǎn)程攻擊實(shí)例，并真實(shí)用于針對特點(diǎn)目標(biāo)的APT攻擊中。

（1）漏洞概述

iOS三叉戟漏洞是指針對iOS9.3.5版本之前的iOS系統(tǒng)的一系列0-day漏洞，其利用了3個(gè)0-day漏洞，包括一個(gè) WebKit漏洞，一個(gè)內(nèi)核地址泄露漏洞和一個(gè)提權(quán)漏洞。通過組合利用三個(gè)0-day漏洞可以實(shí)現(xiàn)遠(yuǎn)程對iOS設(shè)備的越獄，并且安裝運(yùn)行任意惡意代碼。

（2）漏洞詳情

iOS三叉戟漏洞利用載荷可以通過訪問特定的URL觸發(fā)，所以可以通過短信、郵件、社交網(wǎng)絡(luò)或者即時(shí)通訊等發(fā)送惡意鏈接誘導(dǎo)目標(biāo)人員點(diǎn)擊打開鏈接實(shí)現(xiàn)漏洞的觸發(fā)。由于WebKit JavaScript Core庫存在任意代碼執(zhí)行漏洞，當(dāng)Safari瀏覽器訪問惡意鏈接并觸發(fā)惡意的JavaScript載荷執(zhí)行，其利用代碼進(jìn)入Safari Web Content進(jìn)程空間。其隨后利用另外兩個(gè)漏洞實(shí)現(xiàn)權(quán)限提升，并越獄掉iOS設(shè)備。最后三叉戟漏洞可以實(shí)現(xiàn)下載和運(yùn)行用于持久性控制的惡意模塊。

（3）補(bǔ)丁及解決方案

蘋果公司在2016年8月25日發(fā)布iOS 9.3.5，修補(bǔ)了三叉戟漏洞。

10.Android瀏覽器remote2local漏洞利用

該Android瀏覽器漏洞利用代碼的泄露揭示了網(wǎng)絡(luò)軍火商和政府及執(zhí)法機(jī)構(gòu)利用遠(yuǎn)程攻擊漏洞針對Android用戶的攻擊和監(jiān)控，并且該漏洞利用過程實(shí)現(xiàn)幾乎完美，也體現(xiàn)了漏洞利用技術(shù)的“藝術(shù)特點(diǎn)”。該漏洞利用代碼幾乎可以影響當(dāng)時(shí)絕大多數(shù)主流的Android設(shè)備和系統(tǒng)版本。

（1）漏洞概述

Android瀏覽器remote2local漏洞利用是2015年7月Hacking Team遭受入侵并泄露內(nèi)部源代碼資料事件后，其泄露源代碼中包含了針對Android 4.0.x-4.3.x系統(tǒng)版本的瀏覽器的攻擊利用代碼，其可以達(dá)到遠(yuǎn)程代碼執(zhí)行，并執(zhí)行提權(quán)代碼提升至root權(quán)限，最后達(dá)到靜默安裝惡意程序的目的。

該漏洞利用的組合了GoogleChrome的三個(gè)N-day漏洞和針對Android系統(tǒng)的提權(quán)漏洞完成完整的利用攻擊過程。

（2）漏洞詳情

該Android瀏覽器漏洞利用主要因?yàn)閃ebKit中關(guān)于XML語言解析和XSLT轉(zhuǎn)換的libxslt庫，其利用過程實(shí)際上是基于多個(gè)漏洞的組合利用過程。其首先利用一個(gè)信息泄露漏洞獲取內(nèi)存地址相關(guān)信息，并利用內(nèi)存任意讀寫構(gòu)造ROP攻擊最終實(shí)現(xiàn)執(zhí)行任意代碼的目的。其最后執(zhí)行提權(quán)代碼，該漏洞利用中使用的提權(quán)漏洞為CVE-2014-3153，其產(chǎn)生于內(nèi)核的Futex系統(tǒng)調(diào)用。當(dāng)提權(quán)獲得root權(quán)限以后，執(zhí)行靜默安裝惡意APK應(yīng)用。

（5）補(bǔ)丁及解決方案

Google在發(fā)布的Android4.4系統(tǒng)版本中已經(jīng)修復(fù)了上述問題。