浏览器漏洞种类复杂多样
漏洞利用情況
典型漏洞攻擊事件監(jiān)測(cè)舉例
漏洞利用是攻擊的常用手段,通過(guò)對(duì)漏洞攻擊事件的監(jiān)測(cè)可以掌握攻擊者的技術(shù)特點(diǎn),行為習(xí)慣, 進(jìn)而可以對(duì)攻擊者進(jìn)行行為畫(huà)像,為漏洞預(yù)警提供幫助,值得持續(xù)監(jiān)測(cè)。本文重點(diǎn)關(guān)注 MS17-010 和 CVE-2019-0708 的攻擊事件。
2017 年 4 月 Shadow Brokers 發(fā)布了針對(duì) Windows 操作系統(tǒng)
以及其他服務(wù)器系統(tǒng)軟件的多個(gè)高危 漏洞利用工具。同年 5 月 EternalBlue 工具被 WannaCry 勒索軟件蠕蟲(chóng)利用,在全球范圍大爆發(fā),影響 了包括中國(guó)在內(nèi)的多個(gè)國(guó)家 1。EternalBlue 相關(guān)的漏洞主要有 CVE-2017-0144、CVE-2017-0145 以及 CVE-2017-0147,對(duì)應(yīng) Microsoft 的安全公告 MS17-0102。之后又陸續(xù)發(fā)生多起與 MS17-010 有關(guān)的勒 索或挖礦木馬攻擊事件,WannaMine、PowerGhost、Satan 等眾多惡意軟件均利用了 MS17-010 進(jìn)行 傳播。根據(jù)綠盟威脅情報(bào)中心監(jiān)測(cè)到的 2019 年實(shí)際攻擊事件顯示,利用 CVE-2017-0144 的攻擊事件共 計(jì) 4919441 次,利用 CVE-2017-0145 的攻擊事件共計(jì) 27276 次,利用 CVE-2017-0147 的攻擊事件共 計(jì) 1567618 次,按月分布的情況如圖 2.1 所示。我們可以看到在 2019 年中,利用這些漏洞的網(wǎng)絡(luò)攻擊 活動(dòng)持續(xù)活躍在真實(shí)網(wǎng)絡(luò)中。圖 2.1 利用 ETERNALBLUE漏洞的攻擊事件
2019 年 5 月,Microsoft 在當(dāng)月的安全更新中,對(duì)一個(gè)新的 RDP漏洞 CVE-2019-0708[^1] 發(fā)布了警告, 該漏洞可以被用作蠕蟲(chóng)攻擊,8 月又披露了兩個(gè)類(lèi)似的可用作蠕蟲(chóng)的漏洞 CVE-2019-1181/1182。隨后 的 9 月針對(duì) CVE-2019-0708 的可利用攻擊腳本已被公開(kāi) [^2]。截止 2020 年 3 月,綠盟威脅情報(bào)中心監(jiān)測(cè) 到相關(guān)攻擊事件 87211 次,如圖 2.2 所示。在漏洞剛披露的 5 月份,漏洞的時(shí)效性強(qiáng),并非所有用戶(hù) 都及時(shí)修復(fù),漏洞利用價(jià)值高,高級(jí)攻擊組織就會(huì)在網(wǎng)絡(luò)中發(fā)起攻擊,攻擊事件出現(xiàn)了短暫的峰值。7 月份漏洞利用的代碼被公開(kāi),更多黑產(chǎn)、腳本小子等攻擊者開(kāi)始使用,攻擊事件再次呈現(xiàn)快速增長(zhǎng)的趨勢(shì)。 隨著攻擊事件的持續(xù)發(fā)生,越來(lái)越多的用戶(hù)開(kāi)始更新補(bǔ)丁,修復(fù)漏洞,針對(duì)該漏洞的攻擊事件逐漸下降。
圖 2.2 利用 CVE-2019-0708 漏洞的攻擊事件
無(wú)論是開(kāi)源軟件還是閉源軟件,一旦被攻擊者搶先掌握漏洞的利用方式,并實(shí)現(xiàn)穩(wěn)定的攻擊工具, 將對(duì)相關(guān)的軟硬件設(shè)備造成重大的危害,對(duì)用戶(hù)形成威脅。為了避免類(lèi)似事件的發(fā)生,需要廠商、安全 研究員攜手共建安全生態(tài)。
實(shí)際攻擊中常用到 Nday 漏洞
攻擊者關(guān)注穩(wěn)定、高效的漏洞利用技術(shù),對(duì)漏洞的選擇上追求易用性、時(shí)效性以及是否能獲取目標(biāo) 的控制權(quán)限的攻擊能力。
根據(jù)綠盟威脅情報(bào)中心監(jiān)測(cè)的安全事件
,本文整理出了從 2019 年 1 月至 2020 年 3 月與漏洞利用 相關(guān)的攻擊事件,提取了漏洞利用比較高的 10 個(gè)漏洞信息,如表 2.1 所示。表 2.1 漏洞利用較高的 CVE信息
CVE-2002-2185 ACK-Flood拒絕服務(wù)攻擊
CVE-2017-0144 Windows SMB 遠(yuǎn)程代碼執(zhí)行
漏洞 (Shadow Brokers EternalBlue) CVE-2017-12615 Apache Tomcat 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2003-0486 phpBB viewtopic.php topic_id 遠(yuǎn)程 SQL注入攻擊 CVE-2000-1209 MSSQL ‘sa’ 用戶(hù)執(zhí)行登錄失敗
CVE-2017-5638 Struts2 遠(yuǎn)程命令執(zhí)行漏洞
CVE-2014-6271 GNU Bash 環(huán)境變量遠(yuǎn)程命令執(zhí)行漏洞
CVE-2016-0800 OpenSSl SSLv2 弱加密通信方式易受 DROWN攻擊 CVE-2017-9793 Apache Struts2 REST 插件拒絕服務(wù)漏洞
CVE-2014-0094 Apache Struts2 (CVE-2014-0094)(S2-020) 漏洞修補(bǔ)繞過(guò)
從日志中可以看到,攻擊事件的發(fā)生不僅會(huì)用到近幾年的漏洞,像 EternalBlue、Tomcat 遠(yuǎn)程代碼 執(zhí)行這樣好用的 Nday 漏洞也是黑客手中的利器,一些歷史悠久的 SQL注入、拒絕服務(wù)類(lèi)型的漏洞,由 于攻擊門(mén)檻低,效果顯著,攻擊者依然在大量使用,使用到的漏洞按年份分布情況如圖 2.3 所示。
圖 2.3 攻擊事件使用到的漏洞按年分布
可以看到,即使是在 2019 年,10 年以上的高齡漏洞仍然占據(jù)了相當(dāng)大的比例,說(shuō)明互聯(lián)網(wǎng)上依然 存在著大量長(zhǎng)期未更新的軟件和系統(tǒng)。攻擊事件中使用的漏洞和具體的操作系統(tǒng)環(huán)境相關(guān),如物理隔離 環(huán)境下的內(nèi)網(wǎng)中,就可能存在沒(méi)有及時(shí)更新補(bǔ)丁或版本的核心系統(tǒng)、數(shù)據(jù)庫(kù)、系統(tǒng)和軟件,攻擊者一旦 進(jìn)入內(nèi)網(wǎng)就可以利用這些成熟的漏洞利用代碼發(fā)起有效的攻擊。
總體來(lái)說(shuō)隨著時(shí)間的推移,老的漏洞會(huì)被不斷的修補(bǔ),與此同時(shí)又有新的漏洞不斷產(chǎn)生,攻防之間 的對(duì)抗將會(huì)一直持續(xù)。
漏洞發(fā)展趨勢(shì)
瀏覽器漏洞種類(lèi)復(fù)雜多樣
瀏覽器作為用戶(hù)訪問(wèn)互聯(lián)網(wǎng)的媒介,為人們的工作、學(xué)習(xí)和生活帶來(lái)了極大的便利。瀏覽器內(nèi)部在 運(yùn)行時(shí)包含了各種復(fù)雜的過(guò)程,比如 DOM樹(shù)的解析、JavaScript 的動(dòng)態(tài)執(zhí)行、流媒體及協(xié)議的支持以 及擴(kuò)展與插件的實(shí)現(xiàn)。關(guān)于瀏覽器的漏洞研究一直是安全研究員關(guān)注的主要方向,同時(shí)瀏覽器與用戶(hù)交 互頻繁的特點(diǎn),也使其成為了攻擊者的主要目標(biāo)之一。主流瀏覽器的漏洞情況,如圖 3.1 所示。
圖 3.1 主流瀏覽器歷年漏洞數(shù)量
主流的瀏覽器包括 Chrome、FireFox、Internet Explorer、Edge 以及 Safari,Web 端的漏洞主要類(lèi) 型有通用跨站腳本攻擊 (UXSS)和通用跨域漏洞;應(yīng)用端的漏洞主要以?xún)?nèi)存破壞型漏洞為主,包含了緩 沖區(qū)溢出、釋放后重用、雙重釋放、越界讀寫(xiě)等。
2009 年之前,Internet Explorer 作為 Windows 操作系統(tǒng)默認(rèn)瀏覽器,占全球?yàn)g覽器市場(chǎng)的份額最高, 公布的漏洞數(shù)量也是最多的,此階段的漏洞主要以 ActiveX控件和基于棧的緩沖區(qū)溢出為主,通過(guò)簡(jiǎn)單 暴力的超長(zhǎng)字符串覆蓋棧上保存的函數(shù)返回地址就可以控制程序的執(zhí)行流程。為了提高內(nèi)存數(shù)據(jù)的安全 性,Microsoft 在 Windows 7 及后續(xù)系統(tǒng)中加入了數(shù)據(jù)執(zhí)行保護(hù)、棧保護(hù)和堆棧地址隨機(jī)化等多種新的 安全機(jī)制,使得 2009 年后的一段時(shí)間內(nèi) Internet Explorer 漏洞呈現(xiàn)下降的趨勢(shì)。
與此同時(shí) Google 將 Chrome 瀏覽器的源代碼開(kāi)放,隨著 Chrome 市場(chǎng)份額的增加,越來(lái)越多的安 全研究員將線轉(zhuǎn)移過(guò)來(lái),漏洞數(shù)量也隨之增加。瀏覽器中對(duì)象眾多且復(fù)雜,引起釋放后重用 (UAF)類(lèi) 型的漏洞大量出現(xiàn),漏洞數(shù)量呈現(xiàn)上漲的趨勢(shì),Chrome 瀏覽器的漏洞數(shù)量也高居不下。
2013 年 Microsoft 啟動(dòng) Mitigation Bypass Bounty 項(xiàng)目,對(duì)能繞過(guò)最新系統(tǒng)的防御措施的攻擊技術(shù), 提供最高 10 萬(wàn)美元的獎(jiǎng)。此外, Google、Apple 等廠商也都推出漏洞懸賞計(jì)劃,鼓研究人員挖掘 更多的產(chǎn)品漏洞,在這種利與名的雙重驅(qū)動(dòng)下,越界訪問(wèn)、釋放后重用等新類(lèi)型的漏洞一度呈現(xiàn)快速增 長(zhǎng)的趨勢(shì)。
2014 年后 Microsoft 引入堆隔離和延遲釋放等新的安全防護(hù)機(jī)制,同時(shí)在新版本操作系統(tǒng)中支持控 制流保護(hù),這些防護(hù)機(jī)制大大增加了漏洞利用難度和門(mén)檻。
2015 年 Microsoft 新發(fā)布了 Edge 瀏覽器,并作為 Windows 10 操作系統(tǒng)的默認(rèn)瀏覽器,攻擊者的 目標(biāo)也漸漸從 Internet Explorer 轉(zhuǎn)向 Edge 瀏覽器,Edge 瀏覽器的漏洞數(shù)量逐漸上升,Internet Explorer 的數(shù)量逐漸下降。近年來(lái),各大瀏覽器為了提高網(wǎng)頁(yè)的加載和 JavaScript 腳本的運(yùn)行速度,大量使用 了即時(shí)編譯 (Just-in-time) 系統(tǒng),一時(shí)間 JIT 引擎成為攻擊者主要的目標(biāo),大量因過(guò)度優(yōu)化腳本代碼導(dǎo) 致數(shù)組長(zhǎng)度,對(duì)象類(lèi)型等校驗(yàn)錯(cuò)誤的類(lèi)型混淆和數(shù)組越界漏洞出現(xiàn)。
瀏覽器的漏洞總量近年來(lái)雖然略有下降,但將其作為攻擊的入口在實(shí)際利用中深得攻擊者的關(guān)注。 根據(jù)綠盟威脅情報(bào)中心監(jiān)測(cè)到的攻擊事件,本文分析了應(yīng)用軟件漏洞利用分布,如圖 3.2 所示,可以看 到瀏覽器漏洞在網(wǎng)絡(luò)攻擊中達(dá)到了 48.44% 的比例,用戶(hù)需要加強(qiáng)防護(hù),盡快淘汰歷史版本,及時(shí)打補(bǔ)丁,
更新軟件。
13.08% 其他
圖 3.2 應(yīng)用軟件漏洞利用分布
2. 文檔類(lèi)型漏洞利用情況解析
通過(guò)對(duì) APT攻擊的研究發(fā)現(xiàn),利用文件格式漏洞的魚(yú)叉式釣魚(yú)攻擊已成為網(wǎng)絡(luò)安全的主要威脅之一。 PDF、doc(x)、xls(x)、ppt(x) 等文件格式具有跨平臺(tái)、應(yīng)用范圍廣、用戶(hù)基數(shù)大的特點(diǎn),受到了攻擊者 的持續(xù)關(guān)注,目標(biāo)主機(jī)上的相應(yīng)程序一旦存在安全漏洞就會(huì)被輕易攻破。本文統(tǒng)計(jì)了常見(jiàn)文檔處理軟件 的漏洞分布,如圖 3.3 所示。
圖 3.3 文檔類(lèi)型漏洞分布
Acrobat Reader 為載體的 PDF 漏洞數(shù)量共 1823 個(gè),占據(jù)文檔類(lèi)型的 59.07%,PDF 文件格式復(fù)雜, 支持 Javascript 腳本的執(zhí)行,可以通過(guò) Javascript 調(diào)用函數(shù)觸發(fā)漏洞;支持嵌入圖片 /XML等外部文件, 可以利用 PDF 中的關(guān)鍵字、XFA(XML Forms Architecture) 結(jié)構(gòu)等嵌入遠(yuǎn)程文檔以實(shí)現(xiàn)信息泄漏。
PDF 漏洞數(shù)量在常用文檔處理軟件中最多,但在實(shí)際攻擊場(chǎng)景中利用卻并不常見(jiàn),最近的在實(shí)際場(chǎng) 景中的漏洞利用要追溯到 2018 年 6 月的 CVE-2018-49901 Adobe Acrobat and Reader 堆內(nèi)存越界訪問(wèn) 釋放漏洞,主要原因如下:
雖然 PDF 的在野利用不多,但是由于其自身的應(yīng)用廣泛,功能豐富,同時(shí)可以嵌入 Javascript 腳 本的便利性等特點(diǎn),針對(duì) Adobe 公司 PDF 閱讀器的漏洞利用成為了每年國(guó)際國(guó)內(nèi)比賽上的一個(gè)重要項(xiàng) 目。
[^1]Office 相關(guān)的漏洞數(shù)量雖然比 PDF 格式的要少,但在實(shí)際攻擊中備受黑客關(guān)注,大部分 APT組織 也會(huì)選擇利用 Office 的高危漏洞進(jìn)行攻擊。從早些年的 ActiveX漏洞 CVE-2012-0158 到近些年新出的 OLE2Link對(duì)象邏輯漏洞 CVE-2017-0199、公式編輯器漏洞 CVE-2017-11882、EPS 腳本解析漏洞 CVE- 2017-0262 等,每一個(gè)漏洞的殺傷力都十分巨大。
早期 Office 漏洞主要發(fā)生在模塊解析處理的過(guò)程中,隨著 Microsoft 不斷完善安全措施,對(duì)軟件持 續(xù)更新,現(xiàn)在的 Office 漏洞已經(jīng)轉(zhuǎn)向了通過(guò)鏈接、嵌入對(duì)象加載其他有漏洞模塊。從實(shí)際攻擊的角度看, 由于 Windows 操作系統(tǒng)下,Microsoft 的 Office 系列辦公軟件的使用量占有絕對(duì)的優(yōu)勢(shì),相比 PDF 而 言,攻擊者在準(zhǔn)備 Word、Excel、PowerPoint 等 Office 系列軟件的漏洞利用文檔時(shí),只需考慮版本兼容, 不需過(guò)多考慮產(chǎn)品兼容,一個(gè)穩(wěn)定的漏洞利用文檔基本可以實(shí)現(xiàn)一個(gè)產(chǎn)品的全覆蓋。同時(shí)從對(duì)實(shí)際攻擊 事件的檢測(cè)可以看到攻擊者在 Office 漏洞利用中更加偏向成熟穩(wěn)定的漏洞,以 CVE-2017-11882 公式編 輯器漏洞為主 123 。
參考資料
綠盟 漏洞發(fā)展趨勢(shì)報(bào)告
友情鏈接
GB-T 35373-2018 信息安全技術(shù) 個(gè)人信息安全規(guī)范
總結(jié)
以上是生活随笔為你收集整理的浏览器漏洞种类复杂多样的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 如何将多个文件的简体中文名快速翻译成繁体
- 下一篇: delphi 发送html邮件,delp