信息化觀察網(wǎng)

根據(jù)Check Point的年中報(bào)告，2020年上半年觀察到的攻擊中，80%使用2017年及更早時(shí)間報(bào)告和注冊(cè)的“舊漏洞”，超過(guò)20%的攻擊使用至少7年的高齡漏洞。這表明我們?cè)诒３周浖钚聲r(shí)有問(wèn)題。

根據(jù)SenseCy的最新研究，勒索軟件攻擊并不都是由Windows漏洞觸發(fā)的，很多攻擊者利用了用于遠(yuǎn)程訪問(wèn)Windows網(wǎng)絡(luò)的工具中的漏洞。以下是研究人員發(fā)現(xiàn)的勒索軟件熱衷使用的四大漏洞：

CVE-2019-19781：Citrix應(yīng)用程序交付控制器

CVE-2019-19781影響Citrix的遠(yuǎn)程訪問(wèn)設(shè)備，于2019年12月披露，1月修復(fù)。攻擊者使用Citrix漏洞作為入口點(diǎn)，然后轉(zhuǎn)向其他Windows漏洞以獲得進(jìn)一步訪問(wèn)。

正如FireEye博客文章中指出的，Ragnarok勒索軟件攻擊使用Citrix漏洞作為突破口，然后下載用作Windows證書服務(wù)一部分的本機(jī)工具（在MITRE ATT&CK框架中歸類為技術(shù)11005）。然后，攻擊者下載執(zhí)行since1969.exe二進(jìn)制文件，該二進(jìn)制文件位于目錄C：UsersPublic中，并從當(dāng)前用戶的證書緩存中刪除URL。

為確保Citrix網(wǎng)關(guān)設(shè)備不受此漏洞影響，可以下載并使用GitHub上的FireEye/Citrix掃描工具（https://github.com/fireeye/ioc-scanner-CVE-2019-19781）。這一漏洞可用于傳播Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等多個(gè)勒索軟件。Check Point的報(bào)告提到了類似的遠(yuǎn)程訪問(wèn)攻擊趨勢(shì)：使用遠(yuǎn)程訪問(wèn)技術(shù)（包括RDP和VPN）導(dǎo)致RDP暴力攻擊急劇上升。

CVE-2019-11510：Pulse VPN漏洞

漏洞CVE-2019-11510今年被許多攻擊者使用和濫用。Pulse Secure是一種VPN連接服務(wù)，隨著遠(yuǎn)程辦公的人的增加，此類VPN軟件的使用也急劇增加。微軟4月份的一篇博文指出：“REvil（也稱為Sodinokibi）因訪問(wèn)并出售VPN服務(wù)商及其客戶的賬戶和敏感信息而臭名昭著。在新冠疫情期間，此類活動(dòng)更加猖獗。”

該漏洞曾被用于竊取和公開(kāi)900多臺(tái)VPN企業(yè)服務(wù)器的密碼。今年6月，勒索軟件Black Kingdom還利用Pulse VPN的這個(gè)漏洞發(fā)起攻擊，冒充谷歌Chrome的合法定時(shí)任務(wù)。

CVE 2012-0158：微軟Office通用控件

作為2020年勒索軟件攻擊最常用的四個(gè)漏洞之一，誕生于2012年的CVE 2012-0158屬于高齡漏洞，但依然是2019年最危險(xiǎn)的漏洞之一。2020年3月，多家政府和醫(yī)療機(jī)構(gòu)成為攻擊目標(biāo)，攻擊者試圖通過(guò)發(fā)送名為“20200323-sitrep-63-covid-19.doc”的富文本格式文件（RTF）來(lái)利用這一漏洞。被受害者打開(kāi)后，該文件會(huì)嘗試通過(guò)利用Microsoft在MSCOMCTL.OCX庫(kù)中的ListView/TreeView ActiveX控件中的已知緩沖區(qū)溢出漏洞（CVE-2012-0158）來(lái)投放EDA2勒索軟件。

CVE-2018-8453：Windows Win32k組件

CVE-2018-8453是2018年發(fā)現(xiàn)的Windows win32k.sys組件中的漏洞。在巴西能源公司Light S.A遭受的勒索軟件攻擊中，攻擊者就利用了該公司W(wǎng)indows Win32k組件中的32位和64位漏洞來(lái)提權(quán)。

總結(jié)：勒索軟件全面防護(hù)，始于漏洞管理

真正令人感到不安的趨勢(shì)是，上述四大漏洞的數(shù)量和年齡。這表明大量企業(yè)的漏洞和補(bǔ)丁管理流程依然存在很大漏洞，企業(yè)需要盡快修補(bǔ)入口點(diǎn)并掃描補(bǔ)丁工具遺漏的高齡漏洞。

對(duì)于企業(yè)的安全主管們來(lái)說(shuō)，不妨通過(guò)以下問(wèn)題自查：您的端點(diǎn)會(huì)因新冠大流行而增加嗎？新的端點(diǎn)是否得到及時(shí)的修補(bǔ)、保護(hù)和監(jiān)控？您是否增加了遙測(cè)和匯報(bào)流程，以便更好地在問(wèn)題發(fā)生之前就收到警報(bào)？