Susan Bradley 陳琳華

2020年最大的安全趨勢是與新冠肺炎疫情相關(guān)的釣魚攻擊和以遠(yuǎn)程辦公員工為目標(biāo)的攻擊出現(xiàn)了大幅增長。自從建議推廣在家遠(yuǎn)程辦公以來，紐約市政府需要保護(hù)的終端數(shù)量由原來的8萬臺(tái)激增到了75萬臺(tái)。隨著工作人員開始使用視頻會(huì)議平臺(tái)，攻擊者開始將Zoom、Teams等視頻會(huì)議平臺(tái)作為了攻擊目標(biāo)。

在2020年，勒索軟件仍然是一個(gè)重大威脅。不過，SenseCy的最新研究顯示，在已經(jīng)被發(fā)現(xiàn)的勒索軟件攻擊中，許多并不是由Windows漏洞觸發(fā)的。攻擊者主要利用的是Windows網(wǎng)絡(luò)遠(yuǎn)程訪問工具中的漏洞。

據(jù)Check Point的一份年中評(píng)估報(bào)告顯示，以新冠肺炎主題為誘餌，利用社交工程攻擊技術(shù)的惡意軟件出現(xiàn)了擴(kuò)散。另外，在2020年上半年被發(fā)現(xiàn)的攻擊當(dāng)中，有80%使用了2017年之前就已經(jīng)報(bào)告過的漏洞。20%以上的攻擊使用的是至少7年前就已經(jīng)報(bào)告過的漏洞。

這些漏洞的數(shù)量和出現(xiàn)的時(shí)間表明我們的軟件在及時(shí)更新方面存在問題。我們需要對(duì)補(bǔ)丁管理程序進(jìn)行評(píng)估，確保攻擊者使用的切入點(diǎn)被及時(shí)打上補(bǔ)丁，以及補(bǔ)丁工具遺漏的補(bǔ)丁包能夠被及時(shí)發(fā)現(xiàn)。以下是研究人員發(fā)現(xiàn)的四大頂級(jí)漏洞。

CVE-2019-11510 漏洞

在今年的許多攻擊事件中，攻擊者大量使用了CVE-2019-11510漏洞。Pulse Secure的主要用途是提供VPN連接。受疫情的影響，許多人開始選擇遠(yuǎn)程辦公，這使得該軟件的使用量出現(xiàn)了大幅增長。攻擊者曾經(jīng)利用該漏洞竊取了900多臺(tái)VPN企業(yè)服務(wù)器的密碼。勒索軟件Black Kingdom在今年6月也是利用了Pulse VPN漏洞，冒充Google Chrome的合法計(jì)劃任務(wù)進(jìn)行攻擊。在疫情之前，REvil勒索軟件的主要目標(biāo)是MSP（管理服務(wù)提供商）和用戶的網(wǎng)絡(luò)與文檔。疫情暴發(fā)后，該勒索軟件變得更加猖獗，除了MSP外，更是將當(dāng)?shù)卣沧鳛榱俗约旱墓裟繕?biāo)。

CVE 2012-0158漏洞

CVE 2012-0158是一個(gè)8年前就已經(jīng)報(bào)告過的漏洞。盡管多年前就已經(jīng)報(bào)告過了，但是CVE 2012-0158漏洞仍然成為了2019年的頭號(hào)漏洞。在2020年3月，攻擊者以政府和醫(yī)療機(jī)構(gòu)為目標(biāo)發(fā)動(dòng)的釣魚攻擊仍然在利用這一2012年的漏洞。只要打開其中的文件，它們就會(huì)利用MSCOMCTL.OCX庫中的ListView / TreeView ActiveX控件的CVE-2012-0158漏洞來傳播EDA2勒索軟件。

CVE-2019-19781漏洞

CVE-2019-19781于2019年12月被發(fā)現(xiàn)并于今年1月份被修復(fù)，主要影響由Citrix制造的遠(yuǎn)程訪問設(shè)備。攻擊者可以先以Citrix的漏洞為切入點(diǎn)，然后再利用Windows漏洞進(jìn)一步獲取訪問權(quán)限。目前Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP和Nephilim等勒索軟件均使用了該漏洞。用戶可以下載并使用GitHub上的FireEye / Citrix掃描工具來修補(bǔ)該漏洞。RDP暴力攻擊激增的主要原因在于RDP和VPN等遠(yuǎn)程訪問技術(shù)的使用。

CVE-2018-8453漏洞

CVE-2018-8453漏洞是2018年在Windows win32k.sys組件中發(fā)現(xiàn)的漏洞。當(dāng)時(shí)勒索軟件對(duì)巴西能源公司Light S.A的攻擊之所以得手正是利用了這一漏洞。

總結(jié)

其實(shí)，在企業(yè)不斷前進(jìn)的過程中，我們也需要花些時(shí)間回頭看一看并評(píng)估一下自己當(dāng)前的狀態(tài)?？纯醋约菏欠衲軌?qū)⑿迯?fù)工作做得更好，能否進(jìn)行更為順暢的溝通，能否將保護(hù)工作做得更好。同時(shí)，我們也要反思幾個(gè)問題：自己的終端數(shù)量是否因疫情而增加？自己是否已對(duì)接入點(diǎn)進(jìn)行了評(píng)估，以確保它們得到了修補(bǔ)、保護(hù)和監(jiān)控？自己是否增加了遙測和報(bào)修流程，以便在攻擊發(fā)生前能夠?qū)Τ霈F(xiàn)的問題更好地發(fā)出警報(bào)？

原文網(wǎng)址

https：//www.csoonline.com/article/3572336/4-top-vulnerabilities-ransomware-attackers-exploited-in-2020.html