攻击者同时利用Windows操作系统和Google Chrome零日漏洞比较罕见，但杀伤力是巨大的。

最近，谷歌发布的紧急安全补丁程序中修复了两个严重的零日漏洞，而其中一个（CVE-2019-13720）已经被黑客利用，向用户发起攻击。

重点：

1、该漏洞由卡巴斯基发现，存在于谷歌浏览器的音频组件中。目前暂未确认被哪个黑客组织利用。不过，攻击者使用的部分代码和拉撒路集团相似。

2、目前，微软和谷歌都已经发布软件更新，包括该在野零日漏洞的修复。

3、该漏洞可以直接在计算机上安装间谍软件。

4、漏洞影响范围：所有Windows版本包括服务器版本。

漏洞情况：

最初，黑客组织利用某韩语新闻网站的漏洞嵌入恶意脚本，该恶意脚本里有代码是专门针对Google Chrome的，黑客利用的正是谷歌官方此前并未发现的在野零日漏洞CVE-2019-13720，该漏洞允许攻击者在浏览器中执行任意代码、获取敏感信息，绕过安全限制并执行未经授权的操作。

只要用户浏览网站，恶意脚本就会自动加载，调用Win32K安全漏洞下载并安装恶意软件，无需用户进行其他操作。

重定向到漏洞利用登录页面

卡巴斯基将这些攻击称为Operation WizardOpium。目前，还不能确定攻击者属于哪个组织。攻击者使用的部分代码和拉撒路集团相似，而且载体网站来自韩国，而从被攻击的站点来看，又与早期DarkHotel攻击活动类似。总的来说，还不能下定论，而且不排除攻击者使用false flag战术，故意诱导。

安全建议：

目前，该安全漏洞影响范围不仅仅是Windows10， 而是覆盖了所有受支持的Windows版本包括服务器版本，包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等。此外，Windows 7 SP1之前已经停止更新的版本同样受到影响，因此建议用户尽早升级至受支持的最新版本。

卡巴斯基：Chrome 0-day exploit CVE-2019-13720 used in Operation WizardOpium

*本文作者：kirazhou，转载请注明来自FreeBuf.COM