![卡巴斯基:2024年Q1漏洞和利用报告]( "卡巴斯基:2024年Q1漏洞和利用报告")
近日,卡巴斯基发布了《2024年Q1漏洞和利用报告》,提供了一系列有洞察力的统计和分析快照,揭示了新漏洞和利用的发展趋势,以及攻击者最常利用的漏洞概述。为组织获悉和应对相关威胁提供了有价值的见解。
|已注册漏洞统计数据|
为了便于管理,供应商可以注册漏洞并分配CVE标识符。所有标识符和相关公共信息发布在https://cve.mitre.org上(在撰写本文时,该网站正在迁移到新域名https://www.cve.org/)。虽然CVE列表未必是详尽的,但它确实允许研究人员跟踪某些趋势。卡巴斯基研究人员分析了注册软件漏洞的数据,并比较了过去五年中它们的数量变化趋势。
![卡巴斯基:2024年Q1漏洞和利用报告]( "卡巴斯基:2024年Q1漏洞和利用报告")
【2019 - 2024年新注册的CVE数量(2024年呈下降趋势是由于只有第一季度的数据可用)】
如图所示,新漏洞的数量逐年稳步增加。这主要可以归因于以下几个因素:
首先,漏洞赏金平台和漏洞发现竞赛的日益普及为该领域的研究提供了重要的推动力。因此,漏洞的发现呈上升趋势。这也导致更多的供应商注册新发现的漏洞,导致CVE的数量不断增加。
其次,开发流行软件、操作系统和编程语言的公司正在实施更多的安全解决方案和新程序,以提高软件中漏洞监控的性能。一方面,这会导致漏洞被更频繁地发现;另一方面,也会导致整个漏洞类别都过时。因此,威胁参与者和安全研究人员都在努力保持领先地位,积极寻找新型漏洞,并创建自动化服务,以实现更有效的检测。
最后,随着时间的推移,新的应用程序会出现,而现有的应用程序也会不断得到更新变得更加复杂,从而产生新的漏洞。随着技术的快速发展,被发现的漏洞数量可能会逐年增加。
需要注意的是,不同的漏洞会造成不同级别的安全威胁,特别是其中一些可能被归类为“关键”的漏洞。研究人员使用注册CVE列表中的数据和内部可重复性测试的结果计算了关键漏洞的份额。
![卡巴斯基:2024年Q1漏洞和利用报告]( "卡巴斯基:2024年Q1漏洞和利用报告")
【2019 - 2024年新注册的CVE数量和其中关键CVE的百分比(2024年的下降趋势是由于只有第一季度的数据可用)】
如图所示,“关键”漏洞数量的增长是间歇性的。在2021年和2022年,关键漏洞在总数中所占的比例相当,但在2019年至2021年以及2022年至2023年期间,这一比例有所增加。值得注意的是,2023年在软件中发现的关键漏洞数量创下了纪录。2024年第一季度,关键漏洞占注册漏洞总数的比例仍然很高。这再次强调了适当的补丁管理的重要性,以及对能够防止漏洞利用的安全解决方案的迫切需求。
|漏洞利用统计数据|
本节介绍了从公共来源(如注册CVE)和卡巴斯基内部遥测技术收集的漏洞利用统计信息。
漏洞利用是一种包含数据或可执行代码的程序,它利用本地或远程计算机上的一个或多个软件漏洞进行恶意利用。其中,允许攻击者获得对目标用户系统控制权限的软件漏洞对开发人员来说是最有价值的。
恶意行为者能够创建漏洞利用,并在地下论坛上出售其作品,或直接利用它们来达到自己的恶意目的。此外,技术爱好者(包括各种漏洞赏金计划的参与者)也能够开发漏洞利用,以领先于对手并设计对策。
![卡巴斯基:2024年Q1漏洞和利用报告]( "卡巴斯基:2024年Q1漏洞和利用报告")
【暗网上零日和一日漏洞的销售广告】
下图显示了2023年和2024年第一季度,受卡巴斯基产品保护的Linux和Windows用户遭遇漏洞利用的趋势。该统计数据基于卡巴斯基安全网络的数据,由用户自愿提供。
【2023年Q1至2024年Q1遭遇漏洞攻击的Windows用户数量变化】
【2023年Q1至2024年Q1,遭遇漏洞攻击的Linux用户数量的变化】
如图所示,在整个2023年,遭受漏洞利用的Windows用户数量基本保持不变,而受影响的Linux用户数量稳步增加。需要注意的是,在这两种情况下,并不一定涉及相同的漏洞。一些漏洞很快就会过时,促使威胁参与者将注意力转移到更新的漏洞上。
下面,以WinRAR中的CVE-2023-28831漏洞为例来说明某些漏洞受欢迎程度的变化。
【2023年9月- 2024年3月WinRAR中CVE-2023-28831漏洞的流行动态】
图表显示,该漏洞在2023年9月注册后几乎立即便受到欢迎,但随着用户安装补丁,其相关性逐渐下降。这进一步证明,恶意行为者更倾向于对安装补丁数量较少的漏洞感兴趣。
漏洞利用的可用性——特别是可在GitHub等公共平台上访问——是评估漏洞严重性的关键标准。为此,研究人员专门分析了已注册漏洞的公开可用漏洞利用数据。
【2019 - 2024年的漏洞数量及其中存在漏洞利用的百分比】
统计数据显示,包括可用和原始PoC在内的漏洞利用总数有所增加。后者可能不稳定,但它们展示了利用该漏洞的可能性,并保留了未来改进的潜力。值得注意的是,恶意行为者正在寻求新的漏洞利用以及对现有漏洞的修改,例如优化与多个操作系统的兼容性,集成新的数据处理方法,以及增强稳定性。
【一个寻求利用WinRAR CVE-2023-40477漏洞的暗网广告】
【一则寻求帮助配置针对旧版本Windows的CVE-2023-28252漏洞的暗网广告】
研究人员通过持续监控和分析针对各种漏洞(尤其是关键漏洞)发布的漏洞利用,从中挑选出了以下几类恶意行为者特别感兴趣的软件:
-
-
操作系统(Windows、Linux、macOS);
-
Microsoft Exchange服务器及服务器组件;
-
Microsoft SharePoint服务器及服务器组件;
-
-
下图展示了各个软件类别在2023年和2024年Q1的关键漏洞利用分布情况。
然而,在2024年第一季度,研究还观察到大量针对Exchange服务器的漏洞利用。此外,很大一部分漏洞属于“其他软件”类别。这是由于用户可能在其系统上安装了各种各样的应用程序来处理业务任务。
利用软件漏洞是几乎所有针对企业基础设施的APT攻击的一个组成部分。研究人员分析了2023年和2024年第一季度APT攻击中漏洞利用的可用数据,以确定攻击者最常利用的软件。以下是APT组织在2023年和2024年第一季度利用最多的漏洞。
【2024年第一季度APT攻击中最常用的十大漏洞】
上述统计数据显示,目前恶意行为者的常见入口点包括以下几种:
-
易受攻击的远程访问服务,如Ivanti或ScreenConnect。
-
易受攻击的访问控制功能,如Windows SmartScreen。
-
易受攻击的办公应用。值得注意的是,长期占据最常被利用名单榜首的微软Office套件漏洞,在2023年被WinRAR漏洞所取代。
因此,我们可以得出结论,APT组织大多是在获取对基础设施的初始访问权限时利用漏洞。在大多数情况下,这涉及突破边界(例如,通过利用易受攻击的面向互联网的服务,如VPN和Web应用程序)或利用办公室应用程序结合社会工程(例如,通过电子邮件将受感染的文档或档案发送给公司员工)。
本节重点讨论了2024年第一季度最值得关注的一些漏洞。
3月下旬,在XZ数据压缩实用程序包中发现了一个后门。攻击者将恶意代码插入负责处理存档数据的库的源代码中。这段代码通过修改后的构建过程,最终进入编译库。加载这样一个库后,恶意代码将开始修改内存中的函数,使攻击者能够向受感染的服务器发送命令。
该后门的功能特别值得注意,因为攻击者设法将恶意算法注入一个流行的库,这在开源软件的历史上很少实现。该攻击还因其复杂性和多阶段感染过程而引人注目。除了恶意代码的作者,没有人能利用该后门。
CVE-2024-20656(Visual Studio)
Visual Studio中的这个漏洞允许恶意行为者提升他们在系统中的权限。攻击者可以利用它在Windows上执行DACL重置攻击。DACL (Discretionary Access Control List)是一个访问控制列表,它定义了用户对一个对象执行特定操作时的访问级别。重置DACL将删除对访问系统文件或目录的所有限制,因此任何用户都可以对这些文件或目录执行任何操作。
分析发现,该漏洞源代码通过symlink链将Visual Studio应用程序调试服务从一个目录重定向到另一个目录:DummyDir => Global\GLOBALROOT\RPC Control => TargetDir。其中,DummyDir是攻击者创建的一个可公开访问的目录,TargetDir是他们想要访问的目录。当应用程序调试服务从DummyDir重定向到TargetDir时,后者将继承与DummyDir相同的访问设置。
这种使用symlink对受保护的文件执行选择性操作的方法很难防止,因为不是系统中的所有文件都可以进行只读保护。这意味着它将来可能被用来利用其他漏洞。如果目标操作系统服务使用的文件或依赖项被识别出来,并且它的修改限制被删除,用户可以在漏洞运行后简单地覆盖该文件或依赖项。在下一次启动时,攻击者注入的代码将在受损的服务中执行,继承与服务本身相同的访问级别。
研究人员目前尚未发现任何利用此漏洞进行现实攻击的案例。然而,它与CVE-2023-36874共享相同的漏洞利用primitives,恶意行为者甚至在它被发现之前就开始利用它。
操作系统级别的虚拟化(或容器化)目前被广泛用于应用程序扩展和构建容错系统。因此,管理容器的系统中的漏洞是至关重要的。
这个漏洞的存在是由于Linux内核中fork系统调用的某些行为。这个系统调用的特征是它启动子进程的方法,子进程是从父进程复制过来的。
此功能允许快速启动应用程序,但也存在被开发人员忽视的风险。进程克隆意味着可以从子进程访问父进程中的某些数据。根据CWE分类系统,如果应用程序代码无法监控此类数据,则可能导致数据泄露漏洞CWE-403——将文件描述符暴露于意外控制范围。
CVE-2024-21626就是一个很好的例子。Docker工具包使用runc工具来创建和运行容器;因此,运行中的容器充当相对于runc的子进程。如果尝试从该容器访问/proc/self目录,则可以获得runc进程打开的所有文件的描述符。Linux中可访问资源和描述符的导航遵循文件系统规则。因此,攻击者很快开始使用父进程可访问的解释器的相对路径来逃逸容器。
用户可以通过监视正在运行的容器中的活动来检测对此漏洞的利用。在利用过程中观察到的主要模式涉及容器试图使用以下路径访问文件系统:
CVE-2024-1708(ScreenConnect)
ConnectWise ScreenConnect是一个远程桌面访问工具。它包括运行在用户系统上的客户端应用程序和用于客户端管理的服务器。其中,服务器托管的web应用程序包含有问题的漏洞。
访问控制被认为是web应用程序中最关键的机制。只有当web应用程序中的每个用户可访问的函数和参数在应用程序的算法中使用之前都被监视和验证时,它才能工作。事实证明,ScreenConnect中的请求监视和控制是不够的。攻击者只需在原始请求URL后面添加一个“/”字符,就可以强制系统重置其设置,例如:http://vuln.server/SetupWizard.aspx。如此一来,攻击者便可以以管理员权限访问系统,并利用服务器进行恶意攻击。
该漏洞正被恶意行为者积极利用。因此,强烈建议ScreenConnect用户使用开发人员发布的补丁,并配置防火墙规则,限制对服务器web界面的访问。
CVE-2024-21412(Windows Defender)
大多数针对用户系统的攻击的主要目标是执行恶意命令。攻击者的目标是通过各种方法完成此任务,但最流行和最可靠的方法涉及启动恶意文件。为了将未经授权的应用程序启动的风险降到最低,Windows采用了一种称为SmartScreen Filter的机制。SmartScreen检查用户访问的网站和从互联网下载的文件。当检查开始时,用户会看到一个锁定屏幕。
这样的通知可以提示用户重新考虑他们是否真的想要启动应用程序。因此,恶意行为者正在积极寻找绕过此过滤器的方法。CVE-2024-21412就是这样一种方法。
欺骗安全机制依赖于一个简单的原则:如果SmartScreen检查从互联网下载的文件,只需欺骗过滤器,使其相信该文件在启动时已经在系统中。
这可以通过与存储在网络存储中的文件交互来实现。在该漏洞中,存储位于WebDAV服务器上。WebDAV协议允许多个用户同时编辑存储在服务器上的文件,Windows提供了自动访问这种存储的功能。攻击者所要做的就是以适当的方式将服务器呈现给系统。为此,他们使用以下文件URL:
URL=file://ip_address@port/webdav/TEST.URL
该漏洞存在于TeamCity持续集成工具的web界面中,允许攻击者访问本应限制为“经过身份验证的用户可访问”的功能。用户可以通过分析TeamCity在其工作目录中生成的标准日志来检测利用。恶意模式显示如下:
如上所示,对名称为空的文件的不当处理会使未经授权的攻击者能够访问服务器API。
恶意参与者利用此漏洞作为获得目标系统初始访问权限的一种方式。为了更有效地进行利用监控,我们建议对访问web界面的帐户进行审计。
虽然这个漏洞是在2023年发现的,但研究人员认为它值得关注,因为它在2023年底和2024年第一季度的恶意活动中备受青睐。
它的工作原理十分简单:当尝试使用WinRAR GUI打开存档中的文件时,该应用程序也会打开具有相同名称的文件夹的内容(如果这样的文件夹存在于存档中)。
自从攻击者开始利用该漏洞以来,他们已经提出了多种类型的漏洞利用,主要为以下两种格式之一:
恶意软件和现有存档的变化使得不可能确定某个存档是否为漏洞利用。然而,我们可以识别漏洞利用的以下关键特征:
以下是在十六进制编辑器中查看此类文件的示例。对于ZIP存档,数据看起来像这样:
攻击者已经学会了通过使用密码保护存档来隐藏漏洞利用工件。在这种情况下,文件路径可能是加密的,因此检测漏洞的唯一方法是通过行为分析。
研究发现,已注册漏洞的数量逐年增加,同时公开漏洞利用的可用性也在增加。漏洞利用是有针对性攻击的关键组成部分,恶意行为者通常会在注册和漏洞利用发布后的前几周内广泛利用这些漏洞。为了确保安全,组织应该迅速采取如下措施来应对不断变化的威胁形势:
-
保持对基础设施及其资产的全面了解,这是建立任何安全流程的基本因素。
-
实施强大的补丁管理系统,以迅速识别基础架构中的易受攻击软件并部署安全补丁。
-
采用全面的安全解决方案,构建灵活高效的安全系统。该系统应包括强大的端点保护,以尽可能早地检测和遏制攻击。
原文始发于微信公众号(FreeBuf安全咨询):卡巴斯基:2024年Q1漏洞和利用报告
评论