2020年勒索軟件攻擊最多的四大漏洞
責編:gltian |2020-09-14 14:01:16無論是各大網絡安全公司此前發布的威脅報告,還是Coalition這樣的網絡安全保險服務商公布的索賠數據,都明白無誤地表明,勒索軟件是2020年最猖獗的,同時也是給企業造成損失最大的攻擊手段。而軟件漏洞,尤其是高齡漏洞和Windows遠程訪問工具漏洞,則是勒索軟件滲透企業防御體系的重要突破口。
根據Check Point的年中報告,2020年上半年觀察到的攻擊中,80%使用2017年及更早時間報告和注冊的“舊漏洞”,超過20%的攻擊使用至少7年的高齡漏洞。這表明我們在保持軟件最新時有問題。
根據SenseCy的最新研究,勒索軟件攻擊并不都是由Windows漏洞觸發的,很多攻擊者利用了用于遠程訪問Windows網絡的工具中的漏洞。以下是研究人員發現的勒索軟件熱衷使用的四大漏洞:
CVE-2019-19781:Citrix應用程序交付控制器
CVE-2019-19781影響Citrix的遠程訪問設備,于2019年12月披露,1月修復。攻擊者使用Citrix漏洞作為入口點,然后轉向其他Windows漏洞以獲得進一步訪問。
正如FireEye博客文章中指出的,Ragnarok勒索軟件攻擊使用Citrix漏洞作為突破口,然后下載用作Windows證書服務一部分的本機工具(在MITRE ATT&CK框架中歸類為技術11005)。然后,攻擊者下載執行since1969.exe二進制文件,該二進制文件位于目錄 C:\Users\Public中,并從當前用戶的證書緩存中刪除URL。
為確保Citrix網關設備不受此漏洞影響,可以下載并使用GitHub上的FireEye/Citrix掃描工具(https://github.com/fireeye/ioc-scanner-CVE-2019-19781)。這一漏洞可用于傳播Sodinokibi/REvil、 Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等多個勒索軟件。Check Point的報告提到了類似的遠程訪問攻擊趨勢:使用遠程訪問技術(包括RDP和VPN)導致RDP暴力攻擊急劇上升。
CVE-2019-11510:Pulse VPN漏洞
漏洞CVE-2019-11510今年被許多攻擊者使用和濫用。Pulse Secure是一種VPN連接服務,隨著遠程辦公的人的增加,此類VPN軟件的使用也急劇增加。微軟4月份的一篇博文指出:“REvil(也稱為Sodinokibi)因訪問并出售VPN服務商及其客戶的賬戶和敏感信息而臭名昭著。在新冠疫情期間,此類活動更加猖獗。”
該漏洞曾被用于竊取和公開900多臺VPN企業服務器的密碼。今年6月,勒索軟件Black Kingdom還利用Pulse VPN的這個漏洞發起攻擊,冒充谷歌Chrome的合法定時任務。
CVE 2012-0158:微軟Office通用控件
作為2020年勒索軟件攻擊最常用的四個漏洞之一,誕生于2012年的CVE 2012-0158屬于高齡漏洞,但依然是2019年最危險的漏洞之一。2020年3月,多家政府和醫療機構成為攻擊目標,攻擊者試圖通過發送名為 “20200323-sitrep-63-covid-19.doc”的富文本格式文件 (RTF)來利用這一漏洞。被受害者打開后,該文件會嘗試通過利用Microsoft在MSCOMCTL.OCX庫中的ListView/TreeView ActiveX控件中的已知緩沖區溢出漏洞(CVE-2012-0158)來投放EDA2勒索軟件。
CVE-2018-8453:Windows Win32k 組件
CVE-2018-8453是2018年發現的Windows win32k.sys組件中的漏洞。在巴西能源公司Light S.A遭受的勒索軟件攻擊中,攻擊者就利用了該公司Windows Win32k組件中的32位和64位漏洞來提權。
總結:勒索軟件全面防護,始于漏洞管理
真正令人感到不安的趨勢是,上述四大漏洞的數量和年齡。這表明大量企業的漏洞和補丁管理流程依然存在很大漏洞,企業需要盡快修補入口點并掃描補丁工具遺漏的高齡漏洞。
對于企業的安全主管們來說,不妨通過以下問題自查:您的端點會因新冠大流行而增加嗎?新的端點是否得到及時的修補、保護和監控?您是否增加了遙測和匯報流程,以便更好地在問題發生之前就收到警報?