瀏覽器插件Silverlight遭路過(guò)式攻擊 怎么解?
責(zé)編:admin |2015-01-08 15:02:40瀏覽器插件Silverlight用于微軟解決Adobe Flash問(wèn)題。 雖然現(xiàn)在還沒有什么名氣,但Silverlight正被Netflix用于其即時(shí)視頻流服務(wù)。在此之前,Silverlight躲過(guò)了攻擊者的注意,因?yàn)?攻擊者專注于更常見的瀏覽器插件,例如Java、Flash和Adobe的Acrobat Reader。然而,現(xiàn)在Silverlight已經(jīng)被成功利用,它正逐漸成為攻擊者感染和攻擊用戶計(jì)算機(jī)的攻擊向量。
Java和Silverlight之間有很多相似之處:它們都運(yùn)行在沙箱中,默認(rèn)情況下只有低權(quán)限,以限制對(duì)設(shè)備的文件系統(tǒng)和其他系統(tǒng)資源的訪問(wèn)。也就是 說(shuō),攻擊者必須攻破沙箱才能實(shí)現(xiàn)攻擊。安全研究人員已經(jīng)發(fā)現(xiàn)Fiesta、Nuclear、RIG和Angler等漏洞利用工具包現(xiàn)在包含針對(duì) Silverlight中漏洞的攻擊,這些工具包在過(guò)去主要針對(duì)基于Java的漏洞利用。
這些攻擊通常需要吸引用戶到攻擊者控制的網(wǎng)站,檢查其設(shè)備是否已經(jīng)安裝了Silverlight,然后試圖利用漏洞來(lái)感染受害者的系統(tǒng)。這些路過(guò)式攻擊也被用來(lái)利用其它瀏覽器插件中的漏洞。
令人沮喪的是,很多這些攻擊利用的是供應(yīng)商已經(jīng)發(fā)出補(bǔ)丁的漏洞。與往常一樣,企業(yè)需要確保用戶的操作系統(tǒng)和應(yīng)用軟件保持更新,并確保設(shè)備運(yùn)行較舊版本不超 過(guò)絕對(duì)必要的時(shí)間范圍。管理員應(yīng)該為所有網(wǎng)絡(luò)用戶配置Silverlight自動(dòng)更新,防止用戶更改更新設(shè)置。如果Silverlight在你的企業(yè)并不 是必不可少的因素,你應(yīng)該禁止使用該插件。
在攻擊者能夠利用Silverlight漏洞之前,攻擊者需要誘騙用戶訪問(wèn)包含其攻擊代碼的網(wǎng)頁(yè),這通常是通過(guò)讓用戶點(diǎn)擊郵件中的鏈接或者即時(shí)消息來(lái)實(shí) 現(xiàn)。企業(yè)必須教導(dǎo)用戶不要點(diǎn)擊未知來(lái)源的鏈接;這仍然是安全意識(shí)培訓(xùn)中非常重要的方面。此外,另一種誘騙用戶到惡意網(wǎng)頁(yè)的攻擊技術(shù)是惡意廣告,即感染合法 在線廣告網(wǎng)絡(luò)。保持更新端點(diǎn)反惡意軟件應(yīng)該是企業(yè)分層安全戰(zhàn)略的重要組成部分,同時(shí)要注意的是,雖然很多反惡意軟件供應(yīng)商了解Java漏洞利用的原理,也 知道如何利用啟發(fā)式分析來(lái)發(fā)現(xiàn)它們,但基于Silverlight的漏洞利用仍然相對(duì)較新。不過(guò),在Silverlight漏洞利用曝光后,修復(fù)補(bǔ)丁應(yīng)該 很快會(huì)出現(xiàn)。具有動(dòng)態(tài)URL過(guò)濾的Web安全網(wǎng)關(guān)也可以幫助阻止對(duì)很多新的快速變化惡意網(wǎng)站的意外訪問(wèn)。
有些企業(yè)在開發(fā)自己的Silverlight應(yīng)用以供內(nèi)部使用,這些企業(yè)應(yīng)該確保其開發(fā)人員完全了解該應(yīng)用與其他應(yīng)用和資源交互的安全隱患,例如本地即時(shí) 消息或HTML Bridge——管理應(yīng)用和HTML頁(yè)面之間的調(diào)用。Silverlight應(yīng)用加載的任何組件都可能是惡意的,因此,企業(yè)應(yīng)該確保應(yīng)用只能加載受信任的 組件。總目標(biāo)應(yīng)該是盡可能地保持該應(yīng)用的隔離。
攻擊者還將繼續(xù)利用Silverlight,因?yàn)樗鼮楣粽唛_辟了另一個(gè)攻擊向量,這同時(shí)也是企業(yè)還沒有做好充分準(zhǔn)備的攻擊向量。有針對(duì)性的攻擊可能瞄準(zhǔn) 正在旅途中使用企業(yè)筆記本觀看Netflix的高管,這是企業(yè)需要考慮的情況。管理員應(yīng)該檢查Silverlight是否是必要的插件;如果是,請(qǐng)確保相 關(guān)人員、流程和技術(shù)的安全使用。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧