无需用户交互即可利用 Firefox CVE-2024-9680 和 Windows CVE-2024-49039中的零日漏洞

在最近的一份网络安全报告中，ESET 研究人员揭露了与俄罗斯结盟的威胁行为者 RomCom 发起的协同攻击，该攻击利用了 Mozilla Firefox 和 Microsoft Windows 中的零日漏洞。这些漏洞之前并不为人所知，且已被广泛利用，使攻击者能够在无需用户交互的情况下执行恶意代码，这显示出了很高的复杂性。

ESET 详细说明了 RomCom 如何利用两个严重漏洞的组合：

1. CVE-2024-9680：Firefox 动画时间线功能中的一个释放后使用漏洞，CVSS 评分为 9.8。据 ESET 称，该漏洞“允许存在漏洞的 Firefox、Thunderbird 和 Tor 浏览器版本在浏览器的受限上下文中执行代码”。Mozilla 在收到报告后仅 25 小时内就迅速解决了此漏洞，并于 2024 年 10 月 9 日修复了该漏洞，这一修复速度被称赞为“与行业标准相比非常令人印象深刻”。
2. CVE-2024-49039：Windows 任务计划程序服务中的权限提升漏洞，CVSS 评分为 8.8。此漏洞允许 RomCom 绕过 Firefox 的沙盒并提升权限。微软确认此漏洞已被利用，并于 2024 年 11 月 12 日发布了补丁。这些漏洞结合在一起，实现了零点击攻击，受害者只需访问恶意网页即可成功攻击。正如 ESET 所描述的那样，“攻击者可以运行任意代码 - 无需任何用户交互 - 在这种情况下，这导致在受害者的计算机上安装 RomCom 的同名后门。”

RomCom 又名 Storm-0978 或 Tropical Scorpius，以网络犯罪和间谍活动为双重重点而闻名。在这次活动中，该组织利用漏洞传播了 RomCom 后门，这是一种能够执行命令和下载其他恶意负载的工具。ESET 的遥测显示，该组织的目标范围很广，受害者主要位于欧洲和北美。

该组织使用模仿合法网站的虚假域名将受害者重定向到漏洞托管服务器。例如：

• redircorrectiv[.]com模仿非营利新闻编辑室Correctiv。
• devolredir[.]com冒充远程访问解决方案提供商 Devolutions。

这种策略使 RomCom 能够将恶意活动与合法网络流量融合，从而降低被发现的可能性。

Firefox 漏洞利用堆喷射和动画对象操纵来触发释放后使用漏洞，最终使攻击者能够执行 shellcode。相比之下，Windows 漏洞利用了任务计划程序服务中未记录的 RPC 接口，允许特权升级和沙盒逃逸。

ESET 指出，名为 PocLowIL 的恶意 Windows 库使用了弱安全描述符，允许未经授权访问 RPC 接口。更新后的补丁限制了访问，从而有效地消除了攻击媒介。

ESET 认为，与 Mozilla 和 Microsoft 的快速合作有助于缓解这些漏洞。在 ESET 于 2024 年 10 月 8 日首次发现该漏洞后，Mozilla 在一天之内发布了针对 Firefox、Thunderbird 和 Tor 浏览器的补丁。Microsoft 需要更多时间来解决沙盒逃逸问题，并于 2024 年 11 月 12 日通过 KB5046612 部署了全面修复。

RomCom 漏洞攻击活动凸显了民族国家结盟威胁行为者日益复杂的特点，以及快速披露和修补漏洞的重要性。正如 ESET 所强调的那样：“将两个零日漏洞串联起来，RomCom 便拥有了一个无需用户交互的漏洞利用。这种复杂程度表明了威胁行为者获得或开发隐秘能力的意愿和手段。”

建议使用受影响的 Firefox、Thunderbird 或 Windows 版本的组织立即应用最新更新，以防范此类高级威胁。

欲了解更多信息，请阅读下面ESET的完整报告。

 

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/