信息化觀察網(wǎng)

根據(jù)Check Point的年中報告，2020年上半年觀察到的攻擊中，80%使用2017年及更早時間報告和注冊的“舊漏洞”，超過20%的攻擊使用至少7年的高齡漏洞。這表明我們在保持軟件最新時有問題。

根據(jù)SenseCy的最新研究，勒索軟件攻擊并不都是由Windows漏洞觸發(fā)的，很多攻擊者利用了用于遠程訪問Windows網(wǎng)絡的工具中的漏洞。以下是研究人員發(fā)現(xiàn)的勒索軟件熱衷使用的四大漏洞：

CVE-2019-19781：Citrix應用程序交付控制器

CVE-2019-19781影響Citrix的遠程訪問設備，于2019年12月披露，1月修復。攻擊者使用Citrix漏洞作為入口點，然后轉向其他Windows漏洞以獲得進一步訪問。

正如FireEye博客文章中指出的，Ragnarok勒索軟件攻擊使用Citrix漏洞作為突破口，然后下載用作Windows證書服務一部分的本機工具（在MITRE ATT&CK框架中歸類為技術11005）。然后，攻擊者下載執(zhí)行since1969.exe二進制文件，該二進制文件位于目錄C：UsersPublic中，并從當前用戶的證書緩存中刪除URL。

為確保Citrix網(wǎng)關設備不受此漏洞影響，可以下載并使用GitHub上的FireEye/Citrix掃描工具（https://github.com/fireeye/ioc-scanner-CVE-2019-19781）。這一漏洞可用于傳播Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等多個勒索軟件。Check Point的報告提到了類似的遠程訪問攻擊趨勢：使用遠程訪問技術（包括RDP和VPN）導致RDP暴力攻擊急劇上升。

CVE-2019-11510：Pulse VPN漏洞

漏洞CVE-2019-11510今年被許多攻擊者使用和濫用。Pulse Secure是一種VPN連接服務，隨著遠程辦公的人的增加，此類VPN軟件的使用也急劇增加。微軟4月份的一篇博文指出：“REvil（也稱為Sodinokibi）因訪問并出售VPN服務商及其客戶的賬戶和敏感信息而臭名昭著。在新冠疫情期間，此類活動更加猖獗。”

該漏洞曾被用于竊取和公開900多臺VPN企業(yè)服務器的密碼。今年6月，勒索軟件Black Kingdom還利用Pulse VPN的這個漏洞發(fā)起攻擊，冒充谷歌Chrome的合法定時任務。

CVE 2012-0158：微軟Office通用控件

作為2020年勒索軟件攻擊最常用的四個漏洞之一，誕生于2012年的CVE 2012-0158屬于高齡漏洞，但依然是2019年最危險的漏洞之一。2020年3月，多家政府和醫(yī)療機構成為攻擊目標，攻擊者試圖通過發(fā)送名為“20200323-sitrep-63-covid-19.doc”的富文本格式文件（RTF）來利用這一漏洞。被受害者打開后，該文件會嘗試通過利用Microsoft在MSCOMCTL.OCX庫中的ListView/TreeView ActiveX控件中的已知緩沖區(qū)溢出漏洞（CVE-2012-0158）來投放EDA2勒索軟件。

CVE-2018-8453：Windows Win32k組件

CVE-2018-8453是2018年發(fā)現(xiàn)的Windows win32k.sys組件中的漏洞。在巴西能源公司Light S.A遭受的勒索軟件攻擊中，攻擊者就利用了該公司W(wǎng)indows Win32k組件中的32位和64位漏洞來提權。

總結：勒索軟件全面防護，始于漏洞管理

真正令人感到不安的趨勢是，上述四大漏洞的數(shù)量和年齡。這表明大量企業(yè)的漏洞和補丁管理流程依然存在很大漏洞，企業(yè)需要盡快修補入口點并掃描補丁工具遺漏的高齡漏洞。

對于企業(yè)的安全主管們來說，不妨通過以下問題自查：您的端點會因新冠大流行而增加嗎？新的端點是否得到及時的修補、保護和監(jiān)控？您是否增加了遙測和匯報流程，以便更好地在問題發(fā)生之前就收到警報？