本文來自微信公眾號“嘶吼專業(yè)版”,作者/布加迪。
近日Firefox用戶被敦促使用Mozilla的最新更新,來堵住一個可能允許攻擊者控制受影響系統(tǒng)的嚴重漏洞。在此之前,微軟Edge、谷歌Chrome和蘋果Safari瀏覽器都進行了類似的更新,所有這些瀏覽器都受到WebP代碼庫中一個漏洞的嚴重影響。
雖然WebP漏洞也影響其他軟件,但瀏覽器無疑是終端用戶設(shè)備上一種最普遍、最廣泛使用的應(yīng)用程序,在受感染的瀏覽器中站穩(wěn)腳跟,威脅分子就可以訪問敏感信息,并獲得潛入目標環(huán)境的潛在途徑。
本文深入探討了瀏覽器安全,介紹漏洞和漏洞利用工具、零日漏洞和N日漏洞之間的區(qū)別,并重點介紹2023年的幾大瀏覽器漏洞,討論了威脅分子如何通過瀏覽器軟件實施各種攻擊,末尾還附有幫助企業(yè)加強瀏覽器安全性的指南。
關(guān)鍵概念|漏洞與漏洞利用工具的區(qū)別
漏洞本質(zhì)上是軟件、硬件或系統(tǒng)中可能被利用的弱點或缺陷,這些可能是因編碼錯誤、配置錯誤或設(shè)計缺陷而造成的,它們無意中為安全威脅敞開了大門。
漏洞可能存在于技術(shù)的方方面面,包括操作系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)協(xié)議,甚至是人類行為,不是每個漏洞都能被利用,也不是每個漏洞都會導(dǎo)致代碼執(zhí)行或數(shù)據(jù)丟失。
惡意分子將漏洞轉(zhuǎn)化為漏洞利用工具的可能性和難易程度,以及該漏洞代碼工具可能被用來執(zhí)行的操作,是理解漏洞嚴重性等級這個概念的一種非正規(guī)方式。可以在這里(https://nvd.nist.gov/vuln-metrics/cvss)找到對CVSS和漏洞度量指標的更正規(guī)的理解。
利用是主動利用漏洞實施惡意行為的行動。它包括利用已識別的弱點來獲得未經(jīng)授權(quán)的訪問、破壞數(shù)據(jù)、擾亂服務(wù)或執(zhí)行其他有害活動,利用表現(xiàn)為多種形式,比如代碼執(zhí)行、特權(quán)升級、數(shù)據(jù)盜竊或者遠程控制受感染系統(tǒng)。
漏洞和利用是Web瀏覽器安全中兩個不同但又相互關(guān)聯(lián)的概念。雖然今天的Web瀏覽器代碼中可能存在許多漏洞,但并非所有漏洞都可以被利用或被威脅分子積極利用。
未修補漏洞|了解零日和N日漏洞
當攻擊者發(fā)現(xiàn)零日漏洞時,他們有機會在開發(fā)者意識到并發(fā)布安全補丁之前利用它。“零日”這個名字源于一個令人不安的事實,即由于開發(fā)者沒有意識到漏洞,他們沒有時間(零日)來修復(fù),在一個未打補丁的漏洞被公之于眾后,從那時起,它常被稱為N日漏洞,其中N表示從發(fā)現(xiàn)到發(fā)布補丁的天數(shù)。
零日漏洞和N日漏洞都是機會窗口,讓網(wǎng)絡(luò)犯罪分子可以趁機破壞用戶數(shù)據(jù)、傳播惡意軟件或未經(jīng)授權(quán)訪問系統(tǒng),利用這些漏洞可能會產(chǎn)生深遠的后果,影響各種平臺上的大量用戶。Web瀏覽器中的零日漏洞是網(wǎng)絡(luò)安全最重要、最具挑戰(zhàn)性的方面之一。
2023年主要瀏覽器的被利用漏洞
WebP漏洞不是最近影響互聯(lián)網(wǎng)瀏覽器的唯一CVE。谷歌在2023年為Chrome增添的補丁包括針對以下漏洞:
•CVE-2023-2033(CVSS分數(shù):8.8)—V8中的類型混淆
•CVE-2023-2136(CVSS分數(shù):9.6)—Skia圖形庫中的整數(shù)溢出
•CVE-2023-3079(CVSS分數(shù):8.8)—V8中的類型混淆
•CVE-2023-4863(CVSS分數(shù):8.8)—WebP中的堆緩沖區(qū)溢出
•CVE-2023-5217(CVSS分數(shù):8.8)—libvpx中vp8編碼的堆緩沖區(qū)溢出
與此同時,蘋果今年也針對WebKit(為Safari及其他Web應(yīng)用程序提供支持的瀏覽器引擎)中相當數(shù)量的零日漏洞發(fā)布了補丁。
•今年2月,針對WebKit零日漏洞CVE-2023-23529發(fā)布了補丁,該漏洞被用于攻擊,以便在iPhone、iPad和Mac設(shè)備上執(zhí)行代碼。
•4月,WebKit釋放后使用漏洞CVE-2023-28205被修補,以防止可能導(dǎo)致攻擊者在受損設(shè)備上執(zhí)行代碼的漏洞。
•5月,三個WebKit漏洞CVE-2023-32409、CVE-2023-28204和CVE-2023-32373在被報告用于攻擊后得到了修補。
•7月,蘋果修補了WebKit中的CVE-2023-37450漏洞,該漏洞也被廣泛利用。
Mozilla在2023年也修補了多個漏洞,包括CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5以及Firefox 118中的嚴重漏洞CVE-2023-5217,最后一個漏洞與已知被大肆利用的libvpx(WebP)漏洞有關(guān)。
近日,微軟Edge同樣針對WebP漏洞打了補丁。此外,去年8月的補丁星期二還修復(fù)了兩個被大肆利用的零日漏洞:CVE-2023-36884和CVE-2023-38180,以及另外23個遠程代碼執(zhí)行漏洞(其中6個被評為是“嚴重漏洞”)。
與其他許多流行的瀏覽器:Vivaldi、Brave和Opera一樣,Edge是一款基于Chromium的瀏覽器,所以谷歌Chrome中的許多同樣漏洞也適用于這些瀏覽器和Edge。
擴展和附件|擴大攻擊面
雖然瀏覽器本身是一個容易下手的攻擊面,但瀏覽器擴展、插件和附件也是惡意軟件(尤其是信息竊取器)的攻擊途徑。
比如說,隨著ChatGPT日益普及,威脅分子緊跟AI潮流,制作虛假的ChatGPT瀏覽器擴展,以劫持數(shù)千個Facebook企業(yè)賬戶,并傳播一個名為“快速訪問ChatGPT”的惡意信息竊取器。
一些下載網(wǎng)站中也發(fā)現(xiàn)了惡意擴展。今年6月,谷歌從Chrome Web商店中刪除了32個惡意擴展,這些擴展的下載量總計超過7500萬人次,這些鬼鬼祟祟的代碼不僅包含用戶期望的合法功能,還包含經(jīng)過混淆處理的惡意代碼。在一個例子中,PDF工具箱擴展被用來將JavaScript注入到訪問擴展的每個網(wǎng)站用戶。雖然不清楚攻擊者的目的是什么,但這種技術(shù)可以用來劫持搜索結(jié)果,并注入惡意鏈接。
雖然谷歌已采取行動從其Web商店中刪除了已識別的擴展,但這種刪除并不會自動從瀏覽器中停用或卸載這些擴展。
瀏覽器小心|網(wǎng)站提供(虛假)Chrome更新
由于瀏覽器的使用如此廣泛和持續(xù),它們也可能為社會工程活動提供很好的誘餌。威脅分子使用惡意或有毒的網(wǎng)站來欺騙用戶,讓他們以為瀏覽器需要更新才能查看網(wǎng)站,然后向用戶提供惡意下載,佯裝這是所需的更新。
在最近此類活動的一個例子中,安全研究人員發(fā)現(xiàn)了一種新的IDAT加載器,它被用來投放Stealc、Lumma和Amadey之類的信息竊取器。該活動謊稱自己是Chrome瀏覽器更新,將受害者重定向到另一個自動下載二進制文件的URL,在打開虛假的更新二進制文件“ChromeSetup.exe”之后,它進而下載下一階段的載荷。
插件和跨站腳本(XSS)漏洞
跨站腳本(XSS)是一種常見的Web應(yīng)用程序安全漏洞,將惡意代碼注入到網(wǎng)站或Web應(yīng)用程序中,然后將其提供給訪問該網(wǎng)站的其他用戶。XSS攻擊常通過Web瀏覽器來執(zhí)行。
CVE-2023-30777于2023年5月被發(fā)現(xiàn),這是WordPress高級自定義字段PRO插件(版本6.1.5及更早)中的一個漏洞。該漏洞允許攻擊者注入惡意腳本或其他HTML載荷,有人訪問包含這個高危插件的網(wǎng)站時,載荷就會執(zhí)行。
XSS漏洞還允許攻擊者將惡意腳本(常用JavaScript編寫)注入到Web應(yīng)用程序的輸入字段或用戶生成的其他內(nèi)容區(qū)域。這些腳本可以隱藏在看起來無害的數(shù)據(jù)中,比如評論、搜索查詢或表單提交。當不知情的用戶訪問受感染的網(wǎng)頁時,他們的Web瀏覽器會將注入的腳本作為頁面內(nèi)容的一部分來呈現(xiàn)。
惡意廣告|瀏覽器軟件的頑疾
由于瀏覽器的主要目的是訪問網(wǎng)站并呈現(xiàn)內(nèi)容,因此它們不可避免地受到出現(xiàn)在這些網(wǎng)站上的惡意代碼的濫用,這類代碼的一種更常見的形式是惡意廣告,即傳播惡意軟件的在線廣告。
不法分子像普通企業(yè)一樣購買廣告位,常使用自動化系統(tǒng)下訂單。然后,他們創(chuàng)建嵌入惡意代碼的廣告,并通過合法的廣告網(wǎng)絡(luò)發(fā)布。
就連大受歡迎、備受信賴的網(wǎng)站也被發(fā)現(xiàn)無意中提供惡意廣告。惡意廣告可以用來投放無需用戶交互的下載件:只要瀏覽器存在某些漏洞,或者廣告中含有惡意鏈接,就能觸發(fā)下載件。
瀏覽器廣告軟件|不僅僅很煩人
廣告軟件是一種禍害,在未經(jīng)用戶同意甚至不知情的情況下在設(shè)備上顯示侵入性廣告。廣告軟件常常與Web瀏覽器擴展或插件捆綁在一起安裝,一旦安裝上去,廣告軟件就會跟蹤用戶的在線行為,收集數(shù)據(jù),然后顯示針對性的廣告為廣告商大作宣傳。此外,廣告軟件可能會將用戶的Web瀏覽器重定向到特定的網(wǎng)站或收集個人信息。
廣告軟件通過消耗寶貴的系統(tǒng)資源和帶寬來降低系統(tǒng)性能,最令人擔憂的是,廣告軟件可以充當其他惡意軟件的渠道,包括間諜軟件和勒索軟件。廣告軟件開發(fā)者是最高明的開發(fā)群體之一,他們經(jīng)常使用類似惡意軟件的混淆手法和反分析技巧來避免用戶或安全軟件的檢測和刪除。
提高Web瀏覽器的安全性
雖然瀏覽器供應(yīng)商不斷提供補丁更新,并開發(fā)新的擴展和附件來應(yīng)對產(chǎn)品中的風險,但組織本身也可以盡量減少威脅,并保護瀏覽會話。
1.做好瀏覽器安全基本功
•及時更新瀏覽器軟件是網(wǎng)絡(luò)安全的一個重要方面。大多數(shù)流行的瀏覽器會在重新啟動時自動更新和/或在更新可用時提供通知,為了確保更新是正規(guī)的,應(yīng)該始終通過瀏覽器內(nèi)置的更新機制進行更新,應(yīng)該避免手動下載,并且在任何情況下只從開發(fā)者的官方軟件更新網(wǎng)站獲取。
•為了方便,Web瀏覽器通常提供保存密碼的選項。然而,這種便利是以犧牲安全性為代價的,如果將密碼存儲在瀏覽器中,一旦安全泄密,密碼就更容易被竊取。替代方案是,改而使用信譽良好的密碼管理器,密碼管理器不僅可以安全地存儲憑據(jù),還可以為每個帳戶生成獨特的強密碼。
•書簽也有助于提升瀏覽器安全。網(wǎng)絡(luò)犯罪分子可以在經(jīng)常訪問的網(wǎng)站上設(shè)計騙局,誘騙用戶輸入憑據(jù)和敏感信息,為了降低這種風險,對經(jīng)常使用的網(wǎng)站使用書簽,這就降低了意外遇到假冒網(wǎng)站的可能性。
2.編寫面向全組織的瀏覽器政策和培訓(xùn)材料
組織領(lǐng)導(dǎo)可以與IT團隊合作,確?;镜臑g覽器安全做法實現(xiàn)自動化。如果針對管理彈出窗口制定最佳實踐設(shè)置、打開自動更新和只下載IT部門認可的瀏覽器安全附件,所有級別的用戶都可以安全地瀏覽互聯(lián)網(wǎng)。
在用戶層面,要求持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)有助于建立更好的防御態(tài)勢,并保護企業(yè)的數(shù)字資產(chǎn),用戶可以學會發(fā)現(xiàn)常見的威脅,比如網(wǎng)絡(luò)釣魚攻擊、惡意下載和欺騙,然后立即標記問題。網(wǎng)絡(luò)安全培訓(xùn)還強調(diào)了保持瀏覽器和相關(guān)軟件版本最新的重要性,以及在瀏覽器中存儲敏感數(shù)據(jù)的相關(guān)風險。
3.購置威脅檢測和響應(yīng)解決方案
擁有可靠的檢測和響應(yīng)能力是確保Web瀏覽器會話安全的關(guān)鍵。XDR通過整合來自各數(shù)據(jù)源(包括Web瀏覽器)的數(shù)據(jù),提供了一種全面的安全方法。這意味著安全團隊可以對所有系統(tǒng)保持警惕,實時發(fā)現(xiàn)潛在威脅和大肆利用的瀏覽器漏洞。
XDR解決方案還使用高級分析和機器學習(ML)算法來檢測異?;蚩梢傻臑g覽器行為,幫助組織查明基于瀏覽器的漏洞,以免漏洞演變成全面攻擊。通過分析用戶活動、網(wǎng)絡(luò)流量和端點數(shù)據(jù),XDR系統(tǒng)可以識別不然可能被忽視的威脅或惡意活動的跡象。
在基于瀏覽器的網(wǎng)絡(luò)攻擊環(huán)境中,XDR允許安全團隊快速有效地響應(yīng),當檢測到攻擊時,它會隔離受影響的端點,阻止惡意域,并立即采取補救措施,以減小威脅對組織網(wǎng)絡(luò)造成的影響。
結(jié)論
鑒于Web瀏覽器在桌面和移動設(shè)備上無處不在,所以它們?nèi)匀皇峭{分子竊取數(shù)字身份和個人信息或發(fā)動全面網(wǎng)絡(luò)攻擊的一條頗有吸引力的途徑,感染W(wǎng)eb瀏覽器可以用來在操作系統(tǒng)上站穩(wěn)腳跟,劫持互聯(lián)網(wǎng)流量或入侵在線帳戶。
提高網(wǎng)絡(luò)瀏覽器的安全性是需要多管齊下的方法,需要做好網(wǎng)絡(luò)安全基本功,確保持續(xù)的用戶教育,并擁有合適的檢測和響應(yīng)技術(shù)。