到目前为止,2021年已被证明是科技巨头微软的“安全灾难年”,大量漏洞影响了其多项领先服务,包括ActiveDirectory、Exchange和Azure。微软经常成为试图利用已知漏洞和零日漏洞的攻击者的目标,但它自3月初以来所面临的事件发生率和规模让这家科技巨头措手不及。以下是2021年困扰微软的重大安全事件时间表:3月2日:MicrosoftExchangeServer漏洞第一个值得注意的安全事件发生在3月,当时微软宣布其ExchangeServer中存在漏洞CVE-2021-26855。该漏洞可以在一个或多个路由器的协议级别远程执行和利用。虽然攻击复杂性被归类为“低”,但微软表示CVE-2021-26855正在被积极利用。更重要的是,该漏洞可以在没有任何用户交互的情况下被利用,并导致设备完全失去机密性和保护。据微软称,拒绝对端口443上的Exchange服务器进行不受信任的访问,或限制来自公司网络外部的连接,以阻止攻击的初始阶段。但是,如果攻击者已经在基础设施中,或者如果攻击者获得了具有管理员权限的用户来运行恶意文件,这将无济于事。随后,微软发布了安全补丁,并建议在面向外部的Exchange服务器上紧急安装更新。6月8日:微软修补了六个零日安全漏洞微软发布了针对影响各种Windows服务的安全问题的补丁,其中六个是严重漏洞,已成为攻击者的活跃目标。这六个零日漏洞是:CVE-2021-33742:WindowsHTML组件中的远程代码执行漏洞;CVE-2021-31955:Windows内核信息泄露漏洞;CVE-2021-31956:WindowsNTFS漏洞中的提权;CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;CVE-2021-31201:MicrosoftEnhancedCryptographicProvider中的特权提升漏洞;CVE-2021-31199:Microsoft增强型加密提供程序中的特权提升漏洞;7月1日:WindowsPrintSpooler漏洞安全研究人员在GitHub上披露了WindowsPrintSpooler远程代码执行0day漏洞(CVE-2021-34527)。需要注意的是,该漏洞与微软6月8日补丁周二修复并于6月21日更新的EoP-to-RCE漏洞(CVE-2021-1675)不同,这两个漏洞有相似之处但又有所不同,不同的攻击向量。微软警告称,该漏洞已在野外被利用。当WindowsPrintSpooler服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码、安装程序、查看和更改或删除数据,或者创建具有完全用户权限的新帐户,但攻击必须涉及通过身份验证的用户调用RpcAddPrinterDriverEx()。专家建议的缓解措施包括立即安装安全更新,同时确保将以下注册表设置设置为“0”(零)或未定义:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\PointAndPrintNoWarningNoElevationOnInstall=0(DWORD)或未定义(默认设置)UpdatePromptSettings=0(DWORD)或未定义(默认设置)8月:研究人员披露MicrosoftExchangeAutodiscover漏洞Autodiscover是MicrosoftExchange用来自动配置Exchange客户端应用程序(如outlook)的工具。8月,安全供应商Guardicore的研究人员发现了MicrosoftExchangeAutodiscover中的一个设计缺陷,该缺陷导致该协议将Web请求“泄漏”到用户域之外的Autodiscover域,但仍在同一顶级域(TLD)中,例如Autodiscover.com。事实上,自动发现漏洞并不是一个新问题。早在2017年,ShapeSecurity就首次披露了核心漏洞,并在当年的亚洲黑帽大会上展示了调查结果。当时,发现CVE-2016-9940和CVE-2017-2414漏洞仅影响移动设备上的电子邮件客户端。不过ShapeSecurity披露的漏洞已经被修复,2021年更多第三方应用将再次面临同样的问题。与此同时,微软开始调查并采取措施减轻威胁以保护客户。“我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前为客户减少不必要的风险,”微软高级总监JeffJones说。之前没有向我们报告过,所以我们今天才知道这些说法。此外,我的报告明确引用了2017年提出这个问题的研究。这不是零日错误,它已经存在至少1460天了。微软不可能不知道这个漏洞。8月26日:研究人员访问了数千名MicrosoftAzure客户的数据8月26日,云安全厂商Wiz宣布在MicrosoftAzure的托管数据库服务CosmosDB中发现了一个漏洞,Wiz将其命名为“ChaosDB”,该漏洞允许攻击者获得对服务上每个数据库的读/写访问权限。尽管Wiz在两周前才发现该漏洞,但该公司表示它已经在系统中存在“至少几个月,甚至几年”。在得知该漏洞后,微软安全团队禁用了易受攻击的笔记本功能并通知超过30%的CosmosDB客户表示,他们需要手动轮换访问密钥以降低风险,正如WizCustomers在漏洞发生后一周左右启用JupyterNotebook功能所探索的那样。此外,微软还支付了40,000美元的赏金来Wiz.目前微软安全团队已经修复了该漏洞9月7日:MicrosoftMSHTML漏洞9月7日,微软发布安全公告,披露了MicrosoftMSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可以创建恶意ActiveX控件用于由浏览器呈现引擎托管的MicrosoftOffice文档。成功诱导用户打开恶意文档后,他们可以执行在目标系统上具有此用户权限的任意代码。微软在通知中指出,已检测到该漏洞已被野蛮利用,请相关用户采取防护措施。据悉,MSHTML(也称为Trident)是微软的InternetExplorer浏览器浏览器引擎,也用于Office应用程序,以在Word、Excel或PowerPoint文档中呈现Web托管内容。AcitveX控件是微软COM架构的产物,广泛应用于WindowsOffice套件和IE浏览器中。ActiveX控件可用于与MSHTML组件交互。微软于9月14日发布安全更新解决该漏洞,并敦促客户及时更新反恶意软件产品。9月14日:Microsoft披露了多个未利用的漏洞在发布安全更新以缓解Trident漏洞的同一天,Microsoft发布了有关其服务中多个未利用(披露时)漏洞的详细信息。CVE-2021-36968:WindowsDNS中的提权漏洞。攻击者通过获得对目标系统的本地(例如,键盘、控制台)或远程(例如,SSH)访问权限来利用此漏洞;或者攻击者依赖其他人的用户交互来执行利用漏洞所需的操作(例如,诱使合法用户打开恶意文档)。该漏洞攻击复杂度低,需要权限,无需用户交互即可在本地利用。CVE-2021-38647:影响Azure开放管理基础结构(OMI)的远程代码执行漏洞。针对此漏洞的攻击复杂性低,不需要用户交互,并且可能导致完全拒绝对受影响组件中资源的访问。8月11日在GitHub上发布了一个修复程序,允许用户在完整的CVE详细信息发布之前降低风险。CVE-2021-36965:影响WindowsWLANAutoConfig服务的漏洞。该漏洞与网络堆栈相关,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络发起,或者从安全的或其他受限的管理域内发起。该漏洞仅限于由同一安全机构管理的资源。CVE-2021-36952:VisualStudio的这种远程代码执行可能导致攻击者完全拒绝对受影响组件中资源的访问。CVE-2021-38667:影响WindowsPrintSpooler的新特权提升漏洞。攻击者被授予(即需要)特权以提供基本的用户功能,这通常只能影响用户拥有的设置和文件。或者,具有低权限的攻击者可能只能影响非敏感资源。CVE-2021-36975和CVE-2021-38639:Microsoft还共享了两个影响Win32k的新权限提升漏洞。两者都有可能被攻击者反复成功利用。9月16日:攻击者利用ManageEngineADSelfServicePlus中的漏洞FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA联合发布警告,ZohoManageEngineADSelfServicePlus平台存在严重的身份验证绕过漏洞,该漏洞可导致到远程代码执行(RCE),为肆无忌惮的攻击者打开了大门,可以完全控制用户的ActiveDirectory(AD)和云帐户。ZohoManageEngineADSelfServicePlus是一个用于AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都将拥有多个支点。换句话说,它是一个功能强大、具有高特权的应用程序,可以作为进入企业各个领域的便捷入口点,对于用户和攻击者都是如此。9月27日:APT29以ActiveDirectory联合服务为目标安全研究人员标记了一个与俄罗斯政府有关联的网络间谍组织,该组织部署了一个新的后门,旨在利用ActiveDirectory联合服务(ADFS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为APT29或CozyBear)组织——据信是SUNBURST后门的幕后黑手。微软表示,它已通知所有受影响的客户,并建议用户:审查本地和云基础设施,包括配置、每个用户和每个应用程序设置、转发规则,以及参与者可能为保持访问所做的其他更改;删除用户和应用程序访问权限,审查每个用户/应用程序配置并按照记录的行业最佳实践重新发布新的、强大的凭证;使用硬件安全模块(HSM)来防止FoggyWeb泄露机密数据;10月:发布并修复四个零日漏洞10月12日,微软发布了四个零日漏洞,分别是:CVE-2021-40449:Win32k权限提升漏洞。调查显示,黑客组织正在利用零日漏洞对IT公司、军事/国防承包商和外交实体进行广泛的间谍活动。攻击者利用该漏洞通过安装远程访问木马获取更高权限。CVE-2021-40469:WindowsDNS服务器远程代码执行漏洞。攻击者在域控制器上实现远程代码执行以获得域管理员权限的后果很严重,但幸运的是,该漏洞很难武器化。CVE-2021-41335:Windows内核提权漏洞。该漏洞已在POC(概念验证)中公开披露,成功利用可使攻击者在内核模式下运行任意代码,这通常是攻击链的重要组成部分。CVE-2021-41338:WindowsAppContainer防火墙规则安全功能绕过漏洞。AppContainer可以拦截恶意代码并防止来自第三方应用程序的渗透。该漏洞允许攻击者绕过WindowsAppContainer防火墙规则并在没有用户交互的情况下利用它。Microsoft仍然是主要目标正如过去几个月的事件所表明的那样,Microsoft服务仍然是攻击和利用的重要目标,并且其中的漏洞数量继续激增。“Microsoft应用程序和系统仍然是黑客的高价值目标,因为它们广泛部署在世界各地,”Forrester研究总监兼首席分析师MerrittMaxim说。MicrosoftActiveDirectory在全球范围内使用。鉴于ActiveDirectory充当用户身份验证凭据(以及其他内容)的存储库,这对黑客来说是宝贵的数据来源,因此黑客将继续以Microsoft系统为目标。攻击者根据价值选择目标,系统或程序越受欢迎,对黑客来说就越有价值。此外,由于微软的复杂性和广度,其暴露的攻击面也异常庞大,其中大部分仍然可以远程访问。流行度和庞大的远程可访问攻击面的结合创造了一个完美的目标。微软对安全事件的回应Netenrich首席威胁猎人JohnBambenek在反思微软对安全事件的响应和处理时表示,公司总体上做得很好。如果有改进的余地,他们可能需要拥有最完整的产品安全流程。马克西姆同意。“鉴于他们的系统无处不在,跟踪每一个可能的漏洞是一项不可能完成的任务,”他说。“微软需要继续大力投资于其原生产品的安全功能,并通过微软威胁情报中心等方式进行投资。”各机构继续对影响其平台的新兴恶意软件进行详细分析和调查,以使企业了解情况并受到保护。”然而,尽管微软反应迅速并试图修补漏洞,但最近的几个补丁并不完整。或导致大规模攻击。Kolodenker解释说,“许多高危Microsoft漏洞都是由合法的安全专业人员发现的,只有在发布初始补丁后,攻击者才开始疯狂地利用它们。在补丁被广泛采用之前发布公共概念证明(PoC)只会进一步使情况恶化。“这就是为什么组织不能仅仅依赖服务提供商提供的安全更新和修复,并且必须自行承担部分责任,及时应用安全补丁和修复,以减轻‘以漏洞为中心’的利用和攻击的风险,"Jartelius提倡结合预防和反应的方法。“就像我们反复测试火警系统一样,我们也应该测试这些安全防御措施,”他说。使用内部或外部团队来模拟真实世界的攻击,并练习观察和响应攻击的公司,通常会在攻击者成为真实世界的目标之前发现其防御措施中的漏洞。》本文翻译自:https://www.csoonline.com/article/3635849/microsofts-very-bad-year-for-security-a-timeline.html如有转载请注明出处。
