Susan Bradley 陈琳华
2020年最大的安全趋势是与新冠肺炎疫情相关的钓鱼攻击和以远程办公员工为目标的攻击出现了大幅增长。自从建议推广在家远程办公以来,纽约市政府需要保护的终端数量由原来的8万台激增到了75万台。随着工作人员开始使用视频会议平台,攻击者开始将Zoom、Teams等视频会议平台作为了攻击目标。
在2020年,勒索软件仍然是一个重大威胁。不过,SenseCy的最新研究显示,在已经被发现的勒索软件攻击中,许多并不是由Windows漏洞触发的。攻击者主要利用的是Windows网络远程访问工具中的漏洞。
据Check Point的一份年中评估报告显示,以新冠肺炎主题为诱饵,利用社交工程攻击技术的恶意软件出现了扩散。另外,在2020年上半年被发现的攻击当中,有80%使用了2017年之前就已经报告过的漏洞。20%以上的攻击使用的是至少7年前就已经报告过的漏洞。
这些漏洞的数量和出现的时间表明我们的软件在及时更新方面存在问题。我们需要对补丁管理程序进行评估,确保攻击者使用的切入点被及时打上补丁,以及补丁工具遗漏的补丁包能够被及时发现。以下是研究人员发现的四大顶级漏洞。
在今年的许多攻击事件中,攻击者大量使用了CVE-2019-11510漏洞。Pulse Secure的主要用途是提供VPN连接。受疫情的影响,许多人开始选择远程办公,这使得该软件的使用量出现了大幅增长。攻击者曾经利用该漏洞窃取了900多台VPN企业服务器的密码。勒索软件Black Kingdom在今年6月也是利用了Pulse VPN漏洞,冒充Google Chrome的合法计划任务进行攻击。在疫情之前,REvil勒索软件的主要目标是MSP(管理服务提供商)和用户的网络与文档。疫情暴发后,该勒索软件变得更加猖獗,除了MSP外,更是将当地政府也作为了自己的攻击目标。
CVE 2012-0158是一个8年前就已经报告过的漏洞。尽管多年前就已经报告过了,但是CVE 2012-0158漏洞仍然成为了2019年的头号漏洞。在2020年3月,攻击者以政府和医疗机构为目标发动的钓鱼攻击仍然在利用这一2012年的漏洞。只要打开其中的文件,它们就会利用MSCOMCTL.OCX库中的ListView / TreeView ActiveX控件的CVE-2012-0158漏洞来传播EDA2勒索软件。
CVE-2019-19781于2019年12月被发现并于今年1月份被修复,主要影响由Citrix制造的远程访问设备。攻击者可以先以Citrix的漏洞为切入点,然后再利用Windows漏洞进一步获取访问权限。目前Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP和Nephilim等勒索软件均使用了该漏洞。用户可以下载并使用GitHub上的FireEye / Citrix扫描工具来修补该漏洞。RDP暴力攻击激增的主要原因在于RDP和VPN等远程訪问技术的使用。
CVE-2018-8453漏洞是2018年在Windows win32k.sys组件中发现的漏洞。当时勒索软件对巴西能源公司Light S.A的攻击之所以得手正是利用了这一漏洞。
其实,在企业不断前进的过程中,我们也需要花些时间回头看一看并评估一下自己当前的状态。看看自己是否能够将修复工作做得更好,能否进行更为顺畅的沟通,能否将保护工作做得更好。同时,我们也要反思几个问题:自己的终端数量是否因疫情而增加?自己是否已对接入点进行了评估,以确保它们得到了修补、保护和监控?自己是否增加了遥测和报修流程,以便在攻击发生前能够对出现的问题更好地发出警报?
原文网址
https://www.csoonline.com/article/3572336/4-top-vulnerabilities-ransomware-attackers-exploited-in-2020.html