Susan Bradley 陳琳華

2020年最大的安全趨勢是與新冠肺炎疫情相關(guān)的釣魚攻擊和以遠程辦公員工為目標的攻擊出現(xiàn)了大幅增長。自從建議推廣在家遠程辦公以來，紐約市政府需要保護的終端數(shù)量由原來的8萬臺激增到了75萬臺。隨著工作人員開始使用視頻會議平臺，攻擊者開始將Zoom、Teams等視頻會議平臺作為了攻擊目標。

在2020年，勒索軟件仍然是一個重大威脅。不過，SenseCy的最新研究顯示，在已經(jīng)被發(fā)現(xiàn)的勒索軟件攻擊中，許多并不是由Windows漏洞觸發(fā)的。攻擊者主要利用的是Windows網(wǎng)絡(luò)遠程訪問工具中的漏洞。

據(jù)Check Point的一份年中評估報告顯示，以新冠肺炎主題為誘餌，利用社交工程攻擊技術(shù)的惡意軟件出現(xiàn)了擴散。另外，在2020年上半年被發(fā)現(xiàn)的攻擊當中，有80%使用了2017年之前就已經(jīng)報告過的漏洞。20%以上的攻擊使用的是至少7年前就已經(jīng)報告過的漏洞。

這些漏洞的數(shù)量和出現(xiàn)的時間表明我們的軟件在及時更新方面存在問題。我們需要對補丁管理程序進行評估，確保攻擊者使用的切入點被及時打上補丁，以及補丁工具遺漏的補丁包能夠被及時發(fā)現(xiàn)。以下是研究人員發(fā)現(xiàn)的四大頂級漏洞。

CVE-2019-11510 漏洞

在今年的許多攻擊事件中，攻擊者大量使用了CVE-2019-11510漏洞。Pulse Secure的主要用途是提供VPN連接。受疫情的影響，許多人開始選擇遠程辦公，這使得該軟件的使用量出現(xiàn)了大幅增長。攻擊者曾經(jīng)利用該漏洞竊取了900多臺VPN企業(yè)服務(wù)器的密碼。勒索軟件Black Kingdom在今年6月也是利用了Pulse VPN漏洞，冒充Google Chrome的合法計劃任務(wù)進行攻擊。在疫情之前，REvil勒索軟件的主要目標是MSP（管理服務(wù)提供商）和用戶的網(wǎng)絡(luò)與文檔。疫情暴發(fā)后，該勒索軟件變得更加猖獗，除了MSP外，更是將當?shù)卣沧鳛榱俗约旱墓裟繕恕?h3>CVE 2012-0158漏洞

CVE 2012-0158是一個8年前就已經(jīng)報告過的漏洞。盡管多年前就已經(jīng)報告過了，但是CVE 2012-0158漏洞仍然成為了2019年的頭號漏洞。在2020年3月，攻擊者以政府和醫(yī)療機構(gòu)為目標發(fā)動的釣魚攻擊仍然在利用這一2012年的漏洞。只要打開其中的文件，它們就會利用MSCOMCTL.OCX庫中的ListView / TreeView ActiveX控件的CVE-2012-0158漏洞來傳播EDA2勒索軟件。

CVE-2019-19781漏洞

CVE-2019-19781于2019年12月被發(fā)現(xiàn)并于今年1月份被修復，主要影響由Citrix制造的遠程訪問設(shè)備。攻擊者可以先以Citrix的漏洞為切入點，然后再利用Windows漏洞進一步獲取訪問權(quán)限。目前Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP和Nephilim等勒索軟件均使用了該漏洞。用戶可以下載并使用GitHub上的FireEye / Citrix掃描工具來修補該漏洞。RDP暴力攻擊激增的主要原因在于RDP和VPN等遠程訪問技術(shù)的使用。

CVE-2018-8453漏洞

CVE-2018-8453漏洞是2018年在Windows win32k.sys組件中發(fā)現(xiàn)的漏洞。當時勒索軟件對巴西能源公司Light S.A的攻擊之所以得手正是利用了這一漏洞。

總結(jié)

其實，在企業(yè)不斷前進的過程中，我們也需要花些時間回頭看一看并評估一下自己當前的狀態(tài)?？纯醋约菏欠衲軌?qū)⑿迯凸ぷ髯龅酶?，能否進行更為順暢的溝通，能否將保護工作做得更好。同時，我們也要反思幾個問題：自己的終端數(shù)量是否因疫情而增加？自己是否已對接入點進行了評估，以確保它們得到了修補、保護和監(jiān)控？自己是否增加了遙測和報修流程，以便在攻擊發(fā)生前能夠?qū)Τ霈F(xiàn)的問題更好地發(fā)出警報？

原文網(wǎng)址

https：//www.csoonline.com/article/3572336/4-top-vulnerabilities-ransomware-attackers-exploited-in-2020.html