微软、Adobe 漏洞利用

面包屑

您不可能修补所有 CVE,因此请关注骗子愿意支付的漏洞利用,正如对地下漏洞利用市场的研究所追踪的那样。

对网络犯罪论坛中的漏洞利用地下市场进行的为期一年的研究表明,骗子对 Microsoft 漏洞垂涎三尺,而这些漏洞无疑是最受欢迎和销量最高的漏洞利用程序。

据研究人员称(见下图),微软产品占请求的 47%,而物联网 (IoT) 攻击仅占 5%。

据趋势科技称,漏洞利用市场正在满足网络骗子对刺穿微软产品的渴望。第二个数据点(见下图)显示,61% 的已售漏洞针对 Microsoft 产品,包括 Office、Windows、Internet Explorer 和 Microsoft 远程桌面协议 (RDP)。

不出意外。 Flashpoint 研究人员还在 12 月报告了 RDP 服务器访问的价格 一直在飙升.

趋势科技高级研究员 Mayra Rosario Fuentes 于周一在 2021 年全虚拟 RSA 会议上介绍了这项研究。在她的会议上,题为 地下故事:漏洞武器化生命周期, Fuentes 说,该研究跟踪了一年内在 600 多个地下论坛上出售和请求的漏洞利用。

研究人员发现,攻击者愿意为漏洞利用支付的平均价格为 2,000 美元。骗子们正在寻找新的、招标的新漏洞,他们希望清单上 52% 的漏洞利用不到 2 年:这个年龄段也占出售漏洞利用的 54%。

老歌但好歌仍然热辣热辣

不过,较旧的漏洞仍然有需求:据富恩特斯称,在地下出售的漏洞利用程序中有 22% 已有 3 年以上的历史。最古老的漏洞是彻头彻尾的关节炎,可追溯到 1999 年。

在出售的“过时”漏洞利用程序中,45% 是微软风格的,第二个骗子是 Adob​​e 漏洞利用程序。 Fuentes 指出,修补面向互联网的系统的平均时间为 71 天:攻击者需要大量时间来造成一些破坏。

您可以在下面看到一个漏洞利用请求示例,其中潜在购买者正在寻找 CVE-2019-1151 – Microsoft 图形漏洞的远程代码执行 (RCE)。

2020 年 12 月 23 日发布的另一个请求是在 Apache Web Server 中寻找“潜在的 1 天 RCE 漏洞”:考虑到 RiskSense Spotlight,这并不奇怪 报告 发现 WordPress 和 Apache Struts Web 框架是 最容易成为网络犯罪分子的目标 在 2019 年。

趋势科技研究人员发现,Office 和 Adob​​e 漏洞在英语论坛中最为常见。截至上周,全球领先的 PDF 阅读器 Adob​​e Acrobat 受到主动攻击 在一个可能导致 RCE 的漏洞被利用之后。那次攻击同时影响了 Windows(攻击者最喜欢的甜蜜点之一)和 macOS 系统。

漏洞利用的生命周期

与大多数市场一样,漏洞利用市场为买家和卖家提供列表。在一个这样的“出售”宣传中,卖家以 1,000 美元的价格提供了两个严重等级为 7.5 的 CVE。另一则广告以 30,000 美元的价格提供了四个 CVE,包括一个加载程序脚本,增加了重新检查防病毒检测的“好处”,以确保尚未检测到可执行恶意软件且不会被阻止,以及其他服务。

犯罪分子开发出漏洞利用程序后,下一步就是将其出售。在它被公开之后,一个漏洞就会进入公开披露阶段。接下来,供应商修补漏洞。最后,这个漏洞有两条路径:如果它被修补了,那就是生命的终结。如果没有,漏洞仍然存在,等待被购买并释放给尚未修补的不幸受害者。

Fuentes 给出了一些案例研究来说明生命周期。以下是描述其中之一的时间线: CVE-2020-9054 的八个月生命周期:2020 年 2 月在 XSS 网络犯罪论坛上以 20,000 美元的价格出售的漏洞,由网络安全记者 Brian Krebs 撰写,公开披露并修补微软于 2020 年 3 月,并最终成为 一个月后被僵尸网络利用.该僵尸网络是 未来僵尸网络 名为 Mukashi 的目标是 Zyxel 网络附加存储 (NAS) 设备,允许威胁行为者远程破坏和控制设备。

修补程序五个月后,也就是 2020 年 8 月,另一个论坛帖子要求进行漏洞利用,提供 2,000 美元的低价基础付款:原始漏洞利用的十分之一。

当您无法全部修补时从哪里开始

“你不可能每年修补所有的 CVE,”Fuentes 说。那么你如何优先考虑?

她建议在制定补丁计划时考虑漏洞利用的可取性。不要只根据漏洞严重程度来选择战斗。相反,要考虑骗子想要使用什么以及他们可以购买什么。请记住,微软和 Adob​​e 的漏洞利用是热门项目:“认为你可以修补所有内容是不现实的,”富恩特斯指出。 “专注于黑客喜欢关注的领域:微软和 Adob​​e。”

还要记住的是 虚拟修补 – 一个安全策略执行层,通过分析交易和拦截传输中的攻击来防止利用已知漏洞,以防止恶意流量到达 Web 应用程序,而无需花时间修改应用程序本身的实际源代码——可以多买些时间,她推荐。

Fuentes 指出,“先修补什么”等式中的另一个因素是漏洞价格会随着时间的推移而下降,但有价值的漏洞仍然“比大多数人预期的要长”。 “修补昨天流行的漏洞可能比今天的关键漏洞更重要,”她说。