本周在科技新闻世界上头条新闻的火狐0天实际上被用于攻击造币基地的员工,而不是公司的用户,ZDnet已经学会了。
此外,据CoinBase安全团队成员菲利普·马丁(PhilipMartin)称,攻击不是一个,而是两个Firefox零几天,该团队报告了对Mozilla的攻击。
“周一,Coinbase检测到并阻止攻击者利用所报告的0天,以及单独的0天Firefox沙盒转义,以目标Coinbase员工,”马丁说。
Mozilla在Coinbase小组的通知之后发布了一个补丁,该补丁还归功于GoogleProjectZero安全小组的安全研究员塞缪尔·格罗(SamuelGro)。
本周早些时候,当被问及对火狐零天的评论时,格罗说,他在4月15日向Mozilla报告了火狐中的一个bug。
Gro表示,该漏洞将允许远程攻击者在受害者的浏览器中执行代码,但攻击者需要一个单独的沙箱转义错误才能在底层操作系统上运行代码。
似乎是在Gro通过该组织的私人Bugzilla bug跟踪器向Mozilla报告该漏洞两个月后,该漏洞在现场攻击中被利用,还被沙箱逃脱所利用。
不清楚的是,造币攻击者掌握了这个RrceBug的详细信息,以用于攻击。有几种情况出现在脑海里:
-攻击者自己发现了相同的RCE漏洞–他们从一名有权访问Mozilla安全漏洞门户的内部人员那里获得了信息–他们侵入了Mozilla员工的帐户并访问了Bugzilla门户的安全部分–或者,他们侵入了Bugzilla门户,类似于2015年发生的一起事件。
幸运的是,两个FirefoxBug,被链接成一个单一的漏洞,并被部署在造币基地的员工身上,是由Coinbase的员工来检测的。
如果成功的话,黑客本可以进入Coinbase后端网络,并利用这一权限从交易所窃取资金–这一策略在过去曾多次使用过,并曾在许多密码货币交易所造成巨大损失。
马丁说:“我们击退了整个攻击,找回并向火狐报告了0天的攻击,拆开了攻击中使用的恶意软件和[基础设施],并正在与各种args合作,继续烧毁攻击者的基础设施,并挖掘攻击者。”
“我们没有看到针对客户的剥削证据,”马丁说,他还补充说,其他密码挂钩的组织也是这个集团的目标。
他增加了”我们正在努力通知我们相信的其他OGS也是有针对性的,”。
根据马丁共同分享的信息,攻击者会向网页发送一封诱使受害者的钓鱼邮件,如果他们使用火狐,该网页将在他们的系统上下载并运行一个信息窃取器,收集并提取浏览器密码和其他数据。这种攻击是针对Mac和Windows用户定制的,每个操作系统都有不同的恶意软件。
Mozilla周二发布了Firefox67.0.3和FirefoxESR60.7.1,以修复所报告的零天。今天早些时候,这些修复也被合并到tor浏览器中,版本为v8.5.2。
更新日期:6月20日15:00ET:Mozilla已经发布了本文中描述的第二个0天的修补程序。用户可以更新Firefox67.5.4和FirefoxESR60.7.2以防止任何攻击。