CheckPoint的年中报告显示,2020年上半年观察到的攻击中有80%使用了2017年及更早报告和注册的“旧漏洞”,超过20%攻击使用至少有7年历史的漏洞。这表明我们在使软件保持最新状态时遇到了问题。根据SenseCy的最新研究,勒索软件攻击并非全部由Windows漏洞触发,许多攻击者利用用于远程访问Windows网络的工具中的漏洞。以下是研究人员发现勒索软件热衷使用的前四大漏洞:CVE-2019-19781:CitrixApplicationDeliveryControllerCVE-2019-19781影响Citrix的远程访问设备,于2019年12月披露并于1月修复。攻击者使用Citrix漏洞作为入口点,然后转向其他Windows漏洞以获得进一步的访问权限。正如FireEye博客文章中所述,Ragnarok勒索软件攻击使用Citrix漏洞作为入口点,然后下载用作Windows证书服务一部分的本机工具(在MITREATT&CK框架中归类为技术11005)。然后,攻击者下载并执行位于目录C:\Users\Public中的since1969.exe二进制文件,并从当前用户的证书缓存中删除该URL。为确保Citrix网关设备不受此漏洞影响,您可以在GitHub(https://github.com/fireeye/ioc-scanner-CVE-2019-19781)上下载并使用FireEye/Citrix扫描工具。此漏洞可用于传播多种勒索软件,例如Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP和Nephilim。CheckPoint的报告中提到了类似的远程访问攻击趋势:远程访问技术(包括RDP和虚拟专用网络)的使用导致RDP暴力破解攻击急剧上升。CVE-2019-11510:Pulse虚拟专用网漏洞漏洞CVE-2019-11510今年被许多攻击者利用和滥用。PulseSecure是一种虚拟专用网连接服务,随着越来越多的人远程工作,这种类型的使用虚拟专用网络软件的数量急剧增加。“REvil(也称为Sodinokibi)因访问和出售VPN提供商及其客户的帐户和敏感信息而臭名昭著。在COVID-19大流行期间,此类活动变得更加猖獗,”微软4月份的一篇博客文章指出。该漏洞已被用于窃取和泄露900多个VPN企业服务器的密码。今年6月,BlackKingdom勒索病毒也利用Pulse虚拟专用网的这一漏洞发起攻击,伪装成谷歌浏览器的合法定时任务。CVE2012-0158:MicrosoftOffice通用控件是2020年勒索软件攻击中最常用的四大漏洞之一。CVE2012-0158诞生于2012年,是一个老漏洞,但仍然是最危险的漏洞之一2019年。2020年3月,多个政府和医疗保健组织成为目标,攻击者试图通过发送名为“20200323-sitrep-63-covid-19.doc”的富文本格式(RTF)文档来利用此漏洞。一旦受害者打开该文件,该文件就会尝试利用Microsoft在MSCOMCTL.OCX库的ListView/TreeViewActiveX控件中已知的缓冲区溢出漏洞(CVE-2012-0158)来投放EDA2勒索软件。CVE-2018-8453:WindowsWin32k组件CVE-2018-8453是2018年发现的Windowswin32k.sys组件漏洞,在巴西能源公司LightS.A遭受的勒索软件攻击中,攻击者利用了32位和64位漏洞在公司的WindowsWin32k组件中升级权限。底线:全面的勒索软件保护始于漏洞管理一个真正令人不安的趋势是上述四大漏洞的数量和存在时间。这说明大量企业的漏洞和补丁管理流程还存在较大差距,企业需要尽快修补切入点,扫描补丁工具遗漏的旧漏洞。对于企业安全主管,请问自己以下问题:您的端点是否因大流行而增加?是否及时修补、保护和监控新端点?您是否正在增加遥测和报告流程?为了在问题发生之前更好地接收警报?作者更多好文章
