到目前為止,事實證明,2021年對科技巨頭微軟來說算得上“安全重災年”,許多漏洞影響了其多項領先服務,包括Active Directory、Exchange和Azure。微軟經常淪為試圖利用已知漏洞和零日漏洞攻擊者的目標,但自今年3月初以來,它所面臨的事件發生率和規模已經讓這家科技巨頭亂了陣腳。
以下是2021年困擾微軟的重大安全事件時間表:
3月2日:Microsoft Exchange Server漏洞
第一個值得關注的安全事件發生在3月,當時微軟宣佈其Exchange Server中存在漏洞CVE-2021-26855。該漏洞可在一個或多個路由器的協議級別遠端執行和利用。雖然該攻擊複雜性被歸類為“低”,但微軟表示CVE-2021-26855正在被積極利用。
更重要的是,該漏洞可以在沒有任何使用者互動的情況下被利用,並導致裝置完全喪失機密性和保護。根據微軟的說法,拒絕對443埠上Exchange伺服器的不可信訪問,或者限制來自公司網路外部的連線,以阻止攻擊的初始階段。但是,如果攻擊者已經在基礎架構中,或者如果攻擊者獲得具有管理員許可權的使用者來執行惡意檔案,這將無濟於事。
隨後,Microsoft釋出了安全補丁並建議緊急在面向外部的Exchange伺服器上安裝更新。
6月8日:微軟修補了六個零日安全漏洞
微軟針對影響各種Windows服務的安全問題釋出了補丁,其中六個嚴重漏洞已經成為攻擊者的積極目標。這6個零日漏洞是:
CVE-2021-33742:Windows HTML元件中的遠端程式碼執行漏洞;
CVE-2021-31955:Windows核心中的資訊洩露漏洞;
CVE-2021-31956:Windows NTFS中的提權漏洞;
CVE-2021-33739:Microsoft桌面視窗管理器中的特權提升漏洞;
CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特權提升漏洞;
CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特權提升漏洞;
7月1日:Windows Print Spooler漏洞
安全研究人員在GitHub上公開了一個Windows Print Spooler遠端程式碼執行0day漏洞(CVE-2021-34527)。需要注意的是,該漏洞與Microsoft 6月8日星期二補丁日中修復並於6月21日更新的一個EoP升級到RCE的漏洞(CVE-2021-1675)不是同一個漏洞。這兩個漏洞相似但不同,攻擊向量也不同。
微軟警告稱,該漏洞已出現在野利用。當 Windows Print Spooler 服務不正確地執行特權檔案操作時,存在遠端執行程式碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 許可權執行任意程式碼、安裝程式、檢視並更改或刪除資料、或建立具有完全使用者許可權的新帳戶,但攻擊必須涉及呼叫 RpcAddPrinterDriverEx() 的經過身份驗證的使用者。
專家建議的緩解措施包括立即安裝安全更新,同時確保以下注冊表設定設定為“0”(零)或未定義:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
8月:研究人員披露Microsoft Exchange Autodiscover漏洞
Autodiscover是Microsoft Exchange用來自動配置outlook這類Exchange客戶端應用的工具。8月份,安全供應商Guardicore的研究人員發現,Microsoft Exchange Autodiscover存在一個設計缺陷,導致該協議將Web請求“洩漏”到使用者域外的Autodiscover域,但仍在同一頂級域(TLD)中,例如 Autodiscover。com。
事實上,Autodiscover漏洞並不是一個新問題。早在2017年,Shape Security就首次披露了該核心漏洞,並在當年的Black Hat Asia上展示了調查結果。當時,CVE-2016-9940 和 CVE-2017-2414 漏洞被發現僅影響移動裝置上的電子郵件客戶端。不過,Shape Security披露的漏洞已得到修補,而在2021年更多第三方應用程式再次面臨相同的問題。
與此同時,微軟開始調查並採取措施減輕威脅以保護客戶。微軟高階主管Jeff Jones表示,“我們致力於協調漏洞披露,這是一種行業標準的協作方法,可在問題公開之前降低客戶面臨不必要的風險。不幸的是,這個問題在研究人員向媒體披露之前並沒有報告給我們,所以我們今天才知道這些說法。而且,我的報告也清楚地引用了2017 年提出這個問題的研究。這不是零日漏洞,它已經存在了至少1460天。微軟不可能不知道這個漏洞。”
8月26日:研究人員訪問了數千名Microsoft Azure客戶的資料
8 月 26 日,雲安全供應商Wiz宣佈,在Microsoft Azure的託管資料庫服務Cosmos DB中發現了一個漏洞, Wiz將其命名為“Chaos DB”,攻擊者可以利用該漏洞獲得該服務上每個資料庫的讀/寫訪問許可權。儘管Wiz在兩週前才發現了該漏洞,但該公司表示,該漏洞已經在系統中存在“至少幾個月,甚至幾年”。
被告知存在漏洞後,微軟安全團隊禁用了易受攻擊的Notebook功能,並通知超過30%的Cosmos DB客戶需要手動輪換訪問金鑰以減少風險,這些是在Wiz探索漏洞一週左右內啟用了Jupyter Notebook功能的客戶。此外,微軟還向Wiz支付了40,000美元的賞金。目前,微軟安全團隊已經修復了該漏洞。
9月7日:Microsoft MSHTML漏洞
9月7日,微軟釋出安全通告披露了Microsoft MSHTML遠端程式碼執行漏洞(CVE-2021-40444),攻擊者可透過製作惡意的ActiveX控制元件供託管瀏覽器呈現引擎的Microsoft Office文件使用,成功誘導使用者開啟惡意文件後,可在目標系統上以該使用者許可權執行任意程式碼。微軟在通告中指出已檢測到該漏洞被在野利用,請相關使用者採取措施進行防護。
據悉,MSHTML(又稱為Trident)是微軟旗下的Internet Explorer 瀏覽器引擎,也用於 Office 應用程式,以在 Word、Excel 或 PowerPoint 文件中呈現 Web 託管的內容。AcitveX控制元件是微軟COM架構下的產物,在Windows的Office套件、IE瀏覽器中有廣泛的應用,利用ActiveX控制元件即可與MSHTML元件進行互動。
微軟於9月14日釋出了安全更新以解決該漏洞,並敦促客戶及時更新反惡意軟體產品。
9月14日:微軟披露了幾個未被利用的漏洞
在釋出安全更新以緩解Trident漏洞的同一天,微軟釋出了有關其服務中大量未利用(在披露時)漏洞的詳細資訊。
CVE-2021-36968:Windows DNS中的提權漏洞。攻擊者透過本地(例如鍵盤、控制檯)或遠端(例如SSH)訪問目標系統來利用該漏洞;或者攻擊者依賴他人的使用者互動來執行利用漏洞所需的操作(例如,誘騙合法使用者開啟惡意文件)。該漏洞攻擊複雜度和所需許可權低,無需使用者互動即可本地利用。
CVE-2021-38647:影響Azure開放管理基礎結構(OMI)的遠端程式碼執行漏洞。該漏洞的攻擊複雜性較低,無需使用者互動,並且可能導致完全拒絕訪問受影響元件中的資源。8月11日在GitHub上釋出了修復程式,以允許使用者在釋出完整的CVE詳細資訊之前降低風險。
CVE-2021-36965:影響Windows WLAN AutoConfig服務的漏洞。該漏洞繫結到網路堆疊,但攻擊僅限於協議級別的邏輯相鄰拓撲。這意味著攻擊必須從相同的共享物理或邏輯網路發起,或者從安全或其他受限的管理域內發起。該漏洞利用僅限於由同一安全機構管理的資源。
CVE-2021-36952:該遠端程式碼執行Visual Studio可能導致攻擊者完全拒絕訪問受影響元件中的資源。
CVE-2021-38667:影響Windows Print Spooler的新提權漏洞。攻擊者被授權(即需要)提供基本使用者功能的特權,這些功能通常只能影響使用者擁有的設定和檔案。或者,具有低許可權的攻擊者可能有能力僅對非敏感資源造成影響。CVE-2021-36975和CVE-2021-38639:微軟也共享了兩個影響Win32k的新特權提升漏洞。兩者都有可能被攻擊者反覆成功利用。
9月16日:攻擊者利用ManageEngine ADSelfService Plus中的漏洞
來自FBI、美國海岸警衛隊網路司令部(CGCYBER)和CISA的聯合諮詢警告稱,Zoho ManageEngine ADSelfService Plus平臺存在嚴重的身份驗證繞過漏洞,該漏洞可導致遠端程式碼執行(RCE),從而為肆無忌憚的攻擊者開啟公司大門,攻擊者可以自由控制使用者的Active Directory(AD)和雲帳戶。
Zoho ManageEngine ADSelfService Plus是一個針對AD和雲應用程式的自助式密碼管理和單點登入(SSO)平臺,這意味著任何能夠控制該平臺的網路攻擊者都會在兩個關鍵任務應用程式(和他們的敏感資料)中擁有多個軸心點。換句話說,它是一個功能強大的、高度特權的應用程式,無論是對使用者還是攻擊者都可以作為一個進入企業內部各個領域的便捷入口點。
9月27日:APT29以Active Directory聯合身份驗證服務為目標
安全研究人員標記了一個與俄羅斯政府有聯絡的網路間諜組織,該組織部署了一個新的後門,旨在利用Active Directory聯合服務(AD FS)並竊取配置資料庫和安全令牌證書。微軟將惡意軟體程式FoggyWeb歸咎於NOBELIUM(也稱為 APT29 或 Cozy Bear)組織——被認為是 SUNBURST後門的幕後黑手。微軟表示已通知所有受影響客戶,並建議使用者:
稽核本地和雲基礎架構,包括配置、每個使用者和每個應用程式的設定、轉發規則以及參與者可能為維持訪問而進行的其他更改;
刪除使用者和應用程式訪問許可權,審查每個使用者/應用程式的配置,並按照記錄在案的行業最佳實踐重新頒發新的、強大的憑據;
使用硬體安全模組(HSM)以防止FoggyWeb洩露機密資料;
10月:釋出並修復4個零日漏洞
10月12日,微軟釋出了4個0day漏洞,它們分別為:
CVE-2021-40449:Win32k許可權提升漏洞。調查顯示,有駭客組織在利用該0day漏洞進行針對IT公司、軍事/國防承包商和外交實體的廣泛間諜活動。攻擊者透過安裝遠端訪問木馬,利用該漏洞獲取更高的許可權。
CVE-2021-40469:Windows DNS伺服器遠端程式碼執行漏洞。在域控制器上實現遠端程式碼執行的攻擊者獲取域管理員許可權的後果很嚴重,不過幸好,該漏洞很難武器化。
CVE-2021-41335:Windows核心許可權提升漏洞。該漏洞已公開披露在POC(概念驗證)中,成功利用可允許攻擊者在核心模式下執行任意程式碼,這種漏洞通常是攻擊鏈中重要的一部分。
CVE-2021-41338:Windows AppContainer防火牆規則安全功能繞過漏洞。AppContainer能夠阻止惡意程式碼,防止來自第三方應用的滲透。而該漏洞允許攻擊者繞過Windows AppContainer防火牆規則,且無需使用者互動即可加以利用。
微軟仍然是重點攻擊目標
正如過去幾個月發生的事件所示,Microsoft 服務仍然是攻擊和漏洞利用的重要目標,而其中的漏洞更是層出不窮。Forrester研究總監兼首席分析師Merritt Maxim表示,“微軟應用程式和系統仍然是駭客眼中的高價值目標,因為它們在全球範圍內廣泛部署。”
Maxim估計,大約80%的企業都以某種形式在全球範圍內使用Microsoft Active Directory。鑑於Active Directory正充當使用者身份驗證憑據(以及其他功能)的儲存庫,而身份驗證憑據對於駭客來說又是極具價值的資料來源,因此駭客將繼續針對Microsoft系統實施攻擊。
攻擊者會根據價值選擇自己的目標,系統或程式越流行,它對駭客的價值就越大。此外,由於微軟的複雜性和廣泛性,其暴露的攻擊面也異常大,其中大部分還是可以遠端訪問的。流行度和大規模遠端可訪問攻擊面的結合創造了一個完美的目標。
微軟對安全事件的迴應
在反思微軟對安全事件的反應和處理時,Netenrich 首席威脅獵手John Bambenek表示,該公司總體上做得很好。如果有需要改進的地方的話,他們可能需要擁有最完善的產品安全流程。
Maxim對此表示贊同。他表示,“考慮到他們的系統無處不在,想要跟蹤每個可能的漏洞是一項不可能完成的任務。微軟需要繼續加大投資其原生產品的安全功能,並透過微軟威脅情報中心等機構繼續提供對影響其平臺的新興惡意軟體的詳細分析和調查,以使企業瞭解情況並受到保護。”
不過,即便微軟迅速做出反應並嘗試修補漏洞,但由於最近的幾個補丁不完整,還是導致了大規模的漏洞利用。Kolodenker解釋稱,“許多Microsoft高危漏洞都是合法的安全專業人員發現的,只有在最初的補丁釋出後,攻擊者才開始猖獗利用。而在補丁廣泛採用之前釋出概念公開證明(PoC)只會進一步加劇這種情況。”
這就是為什麼組織不能僅僅依賴服務提供商提供的安全更新和修復,他們自己也必須承擔一部分責任,及時應用安全補丁和修復程式來減輕“以漏洞為中心”的漏洞利用和攻擊風險。
Jartelius提倡將預防性和反應性方法相結合。他表示,“就像我們反覆測試火警系統一樣,我們也應該測試這些安全防禦機制。使用內部或外部團隊來模擬真實攻擊,同時,練習觀察和響應攻擊的公司,通常會在淪為現實世界的目標之前及時發現自身存在的防禦缺陷。”
參考及來源:https://www。csoonline。com/article/3635849/microsofts-very-bad-year-for-security-a-timeline。html
