隨著Angler與其它多種漏洞工具包將Flash與Silverlight漏洞納入清單,我們需要時刻關(guān)注最新補(bǔ)丁以避免受到影響。
勒索軟件攻擊活動近來持續(xù)興起,而人們給出的主要應(yīng)對方式在于建立強(qiáng)大的備份策略并開始爭論是否該為其交付贖金。不過除了問題本身,我們也應(yīng)該認(rèn)真考慮如何利用良好的補(bǔ)丁管理策略以搶先一步解決問題。
▲
過去幾個月以來,眾多主流漏洞工具包已經(jīng)將勒索軟件納入清單。這些工具包主要著眼于指向Adobe Flash與微軟Silverlight安全漏洞的勒索軟件,包括Cryptowall、AlphaCrypt以及TeslaCrypt等等,Recorded Future在分析報告中指出。研究人員們發(fā)現(xiàn),近來出現(xiàn)的Flash與Silverlight漏洞修復(fù)補(bǔ)丁已經(jīng)成為應(yīng)對Angler、Neutrino以及Nuclear等漏洞工具包內(nèi)相關(guān)勒索軟件的“關(guān)鍵性途徑”。
“最近發(fā)布的漏洞修復(fù)補(bǔ)丁能夠顯著緩解勒索軟件的肆虐程度,”Recorded Future研究員Scott Donnelly寫道。
Recorded Future發(fā)現(xiàn),Angler已經(jīng)納入了Silverlight的一項(xiàng)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-0034),而TeslaCrypt最初于今年2月對其加以利用。微軟公司曾經(jīng)在1月的安裝補(bǔ)丁中對其進(jìn)行了修復(fù),并指出其已經(jīng)受到了“一定數(shù)量的攻擊”。而在幾周后,其才被納入Angler并廣泛用于攻擊活動。
Adobe公司也已經(jīng)修復(fù)了Flash播放器中的堆緩沖區(qū)溢出漏洞(CVE-2015-8446)以及整數(shù)溢出漏洞(CVE-2015-8951),具體時間點(diǎn)為去年12月。編號為CVE-2015-7654的類型混淆漏洞則于去年10月得到修復(fù)。當(dāng)時Adobe曾表示其中的整數(shù)溢出與類型混淆漏洞“只出現(xiàn)在數(shù)量有限的針對性攻擊中”。
Angler、Neutrino、Magnitude、RIG以及Nuclear等漏洞工具包目前已經(jīng)包含至少一種以上提到的Flash漏洞。截至目前,Angler為惟一包含三種漏洞的工具包,Recorded Future指出。
過去幾個月來,北美與歐洲地區(qū)的一些市級醫(yī)療與警用計算機(jī)已經(jīng)遭到勒索攻擊。“糟糕的補(bǔ)丁安裝與令人失望的安全投入導(dǎo)致當(dāng)?shù)毓舶踩c政府機(jī)構(gòu)的電腦系統(tǒng)面臨風(fēng)險,”Donnelly表示。
別讓壞人有機(jī)可乘
漏洞工具包往往依靠過時的軟件缺陷與安全漏洞實(shí)現(xiàn)攻擊活動。受害者不需要點(diǎn)擊并下載任何惡意軟件——該漏洞工具包會利用探針識別系統(tǒng)中的漏洞軟件并啟動相應(yīng)漏洞。
這些攻擊活動之所以能夠成功,是因?yàn)榘踩掳l(fā)布與安全更新安裝之間存在時間差。工具包不需要使用任何零日漏洞,因?yàn)闄C(jī)會窗口與受害者數(shù)量已經(jīng)足夠龐大。一些更為先進(jìn)的漏洞工具包——例如Angler——能夠非常及時地在幾周甚至幾天之內(nèi)納入最新漏洞。
Angler還促成了最近被廣泛關(guān)注的幾次惡意廣告勒索行為,包括在合法網(wǎng)站上顯示惡意廣告(包括MSN以及其它媒體渠道),并將用戶重新定向至存在漏洞工具包的網(wǎng)站處。保持操作系統(tǒng)處于最新版本并對各類主流軟件安裝修復(fù)補(bǔ)丁——包括網(wǎng)絡(luò)瀏覽器、Flash播放器、Silverlight以及Java等——能夠有效降低勒索軟件的成功機(jī)率。
當(dāng)然,推遲補(bǔ)丁安裝也可能出于某些商業(yè)理由。宕機(jī)時間是其中最重要的因素,而且技術(shù)人員需要對每項(xiàng)補(bǔ)丁進(jìn)行測試以確保其與其它已安裝應(yīng)用程序相兼容。
“修復(fù)漏洞會給業(yè)務(wù)帶來嚴(yán)重影響,因?yàn)檠a(bǔ)丁安裝可能導(dǎo)致停機(jī)時間以及兼容性問題。因此要想解決補(bǔ)丁安裝難題,理想的補(bǔ)丁管理方案可謂至關(guān)重要,”Donnelly指出。
需要優(yōu)先安裝的補(bǔ)丁
Recorded Future給出建議,提醒我們優(yōu)先修復(fù)Flash與Silverlight中的安全漏洞。另外Flash還曾于2015年曝出過8項(xiàng)常見安全漏洞,具體編碼分別為CVE-2015-0313、CVE-2015-5119,、CVE-2015-5122、CVE-2015-0359、CVE-2015-3113、CVE-2015-0311、CVE-2015-3090以及CVE-2015-0336。
而卸載使用頻率較低的軟件也是個好主意,因?yàn)檫@能有效減小攻擊面。不過對于大量使用Flash、Java以及Silverlight等主流軟件的企業(yè)來說,此類作法顯然幫不上忙。他們需要經(jīng)常更新補(bǔ)丁以領(lǐng)先于漏洞工具包的升級節(jié)奏。
勒索軟件還提供多種不同的攻擊微量,包括帶有惡意附件的垃圾郵件、存在可疑鏈接的釣魚郵件以及包含誘殺文件的網(wǎng)站,漏洞工具包只是其載體之一。不過及時安裝補(bǔ)丁并降低勒索軟件感染威脅能夠幫助企業(yè)至少解決一種常見的惡意攻擊場景。
京公網(wǎng)安備 11010502049343號