谷歌今天發布了由六份博文組成的系列安全報告，詳細介紹了在2020年初檢測到的一個複雜黑客活動，攻擊目標是Android和Windows設備。谷歌表示這些攻擊都是兩台漏洞服務器通過水坑攻擊（watering hole attacks）發起的。

谷歌安全團隊Project Zero在六篇博文的第一篇中指出：“其中一台服務專門針對Windows用戶，而另一台則針對Android用戶”。谷歌表示，這兩台漏洞服務器都是利用谷歌Chrome瀏覽器的漏洞在受害者設備上獲得初步的切入點。

一旦從瀏覽器切入，攻擊者就會部署操作系統級別的漏洞，以獲得受害者設備的更多控制權。該漏洞鏈使用了多個Zero-Day 和N-Day 漏洞，Zero-Day 漏洞指的是軟件製造商不知道的漏洞，N-Day 漏洞指的是已經打過補丁但仍在野外被利用的漏洞。

谷歌表示，雖然他們沒有發現任何安卓零日漏洞託管在漏洞服務器上的證據，但其安全研究人員認為，威脅行為人很可能也能獲得安卓零日漏洞，但很可能在其研究人員發現時，並沒有將其託管在服務器上。

總的來說，谷歌將這些利用鏈描述為“通過其模塊化設計來提高效率與靈活性”。谷歌表示：“它們是精心設計的複雜代碼，具有各種新穎的利用方法，成熟的日誌記錄，複雜和計算的後利用技術，以及大量的反分析和目標檢查”。

CVE-2020-6418  – Chrome Vulnerability in TurboFan ( fixed February 2020 )

CVE-2020-0938  – Font Vulnerability on Windows ( fixed April 2020 )

CVE-2020-1020  – Font Vulnerability on Windows ( fixed April 2020 )

CVE-2020-1027  – Windows CSRSS Vulnerability ( fixed April 2020 )