漏洞利用情況

典型漏洞攻擊事件監測舉例

漏洞利用是攻擊的常用手段，通過對漏洞攻擊事件的監測可以掌握攻擊者的技術特點，行為習慣， 進而可以對攻擊者進行行為畫像，為漏洞預警提供幫助，值得持續監測。本文重點關注 MS17-010 和 CVE-2019-0708 的攻擊事件。
2017 年 4 月 Shadow Brokers 發布了針對 Windows 操作系統
以及其他服務器系統軟件的多個高危 漏洞利用工具。同年 5 月 EternalBlue 工具被 WannaCry 勒索軟件蠕蟲利用，在全球范圍大爆發，影響 了包括中國在內的多個國家 1。EternalBlue 相關的漏洞主要有 CVE-2017-0144、CVE-2017-0145 以及 CVE-2017-0147，對應 Microsoft 的安全公告 MS17-0102。之后又陸續發生多起與 MS17-010 有關的勒 索或挖礦木馬攻擊事件，WannaMine、PowerGhost、Satan 等眾多惡意軟件均利用了 MS17-010 進行 傳播。根據綠盟威脅情報中心監測到的 2019 年實際攻擊事件顯示，利用 CVE-2017-0144 的攻擊事件共 計 4919441 次，利用 CVE-2017-0145 的攻擊事件共計 27276 次，利用 CVE-2017-0147 的攻擊事件共 計 1567618 次，按月分布的情況如圖 2.1 所示。我們可以看到在 2019 年中，利用這些漏洞的網絡攻擊 活動持續活躍在真實網絡中。圖 2.1 利用 ETERNALBLUE漏洞的攻擊事件
2019 年 5 月，Microsoft 在當月的安全更新中，對一個新的 RDP漏洞 CVE-2019-0708[^1] 發布了警告， 該漏洞可以被用作蠕蟲攻擊，8 月又披露了兩個類似的可用作蠕蟲的漏洞 CVE-2019-1181/1182。隨后 的 9 月針對 CVE-2019-0708 的可利用攻擊腳本已被公開 [^2]。截止 2020 年 3 月，綠盟威脅情報中心監測 到相關攻擊事件 87211 次，如圖 2.2 所示。在漏洞剛披露的 5 月份，漏洞的時效性強，并非所有用戶 都及時修復，漏洞利用價值高，高級攻擊組織就會在網絡中發起攻擊，攻擊事件出現了短暫的峰值。7 月份漏洞利用的代碼被公開，更多黑產、腳本小子等攻擊者開始使用，攻擊事件再次呈現快速增長的趨勢。 隨著攻擊事件的持續發生，越來越多的用戶開始更新補丁，修復漏洞，針對該漏洞的攻擊事件逐漸下降。
圖 2.2 利用 CVE-2019-0708 漏洞的攻擊事件
無論是開源軟件還是閉源軟件，一旦被攻擊者搶先掌握漏洞的利用方式，并實現穩定的攻擊工具， 將對相關的軟硬件設備造成重大的危害，對用戶形成威脅。為了避免類似事件的發生，需要廠商、安全 研究員攜手共建安全生態。

實際攻擊中常用到 Nday 漏洞

攻擊者關注穩定、高效的漏洞利用技術，對漏洞的選擇上追求易用性、時效性以及是否能獲取目標 的控制權限的攻擊能力。
根據綠盟威脅情報中心監測的安全事件
，本文整理出了從 2019 年 1 月至 2020 年 3 月與漏洞利用 相關的攻擊事件，提取了漏洞利用比較高的 10 個漏洞信息，如表 2.1 所示。表 2.1 漏洞利用較高的 CVE信息

CVE-2002-2185 ACK-Flood拒絕服務攻擊
CVE-2017-0144 Windows SMB 遠程代碼執行
漏洞 (Shadow Brokers EternalBlue) CVE-2017-12615 Apache Tomcat 遠程代碼執行漏洞CVE-2003-0486 phpBB viewtopic.php topic_id 遠程 SQL注入攻擊 CVE-2000-1209 MSSQL ‘sa’ 用戶執行登錄失敗
CVE-2017-5638 Struts2 遠程命令執行漏洞
CVE-2014-6271 GNU Bash 環境變量遠程命令執行漏洞
CVE-2016-0800 OpenSSl SSLv2 弱加密通信方式易受 DROWN攻擊 CVE-2017-9793 Apache Struts2 REST 插件拒絕服務漏洞
CVE-2014-0094 Apache Struts2 (CVE-2014-0094)(S2-020) 漏洞修補繞過
從日志中可以看到，攻擊事件的發生不僅會用到近幾年的漏洞，像 EternalBlue、Tomcat 遠程代碼 執行這樣好用的 Nday 漏洞也是黑客手中的利器，一些歷史悠久的 SQL注入、拒絕服務類型的漏洞，由 于攻擊門檻低，效果顯著，攻擊者依然在大量使用，使用到的漏洞按年份分布情況如圖 2.3 所示。
圖 2.3 攻擊事件使用到的漏洞按年分布
可以看到，即使是在 2019 年，10 年以上的高齡漏洞仍然占據了相當大的比例，說明互聯網上依然 存在著大量長期未更新的軟件和系統。攻擊事件中使用的漏洞和具體的操作系統環境相關，如物理隔離 環境下的內網中，就可能存在沒有及時更新補丁或版本的核心系統、數據庫、系統和軟件，攻擊者一旦 進入內網就可以利用這些成熟的漏洞利用代碼發起有效的攻擊。
總體來說隨著時間的推移，老的漏洞會被不斷的修補，與此同時又有新的漏洞不斷產生，攻防之間 的對抗將會一直持續。

漏洞發展趨勢

瀏覽器漏洞種類復雜多樣

瀏覽器作為用戶訪問互聯網的媒介，為人們的工作、學習和生活帶來了極大的便利。瀏覽器內部在 運行時包含了各種復雜的過程，比如 DOM樹的解析、JavaScript 的動態執行、流媒體及協議的支持以 及擴展與插件的實現。關于瀏覽器的漏洞研究一直是安全研究員關注的主要方向，同時瀏覽器與用戶交 互頻繁的特點，也使其成為了攻擊者的主要目標之一。主流瀏覽器的漏洞情況，如圖 3.1 所示。
圖 3.1 主流瀏覽器歷年漏洞數量
主流的瀏覽器包括 Chrome、FireFox、Internet Explorer、Edge 以及 Safari，Web 端的漏洞主要類 型有通用跨站腳本攻擊 (UXSS)和通用跨域漏洞；應用端的漏洞主要以內存破壞型漏洞為主，包含了緩 沖區溢出、釋放后重用、雙重釋放、越界讀寫等。
2009 年之前，Internet Explorer 作為 Windows 操作系統默認瀏覽器，占全球瀏覽器市場的份額最高， 公布的漏洞數量也是最多的，此階段的漏洞主要以 ActiveX控件和基于棧的緩沖區溢出為主，通過簡單 暴力的超長字符串覆蓋棧上保存的函數返回地址就可以控制程序的執行流程。為了提高內存數據的安全 性，Microsoft 在 Windows 7 及后續系統中加入了數據執行保護、棧保護和堆棧地址隨機化等多種新的 安全機制，使得 2009 年后的一段時間內 Internet Explorer 漏洞呈現下降的趨勢。
與此同時 Google 將 Chrome 瀏覽器的源代碼開放，隨著 Chrome 市場份額的增加，越來越多的安 全研究員將線轉移過來，漏洞數量也隨之增加。瀏覽器中對象眾多且復雜，引起釋放后重用 (UAF)類 型的漏洞大量出現，漏洞數量呈現上漲的趨勢，Chrome 瀏覽器的漏洞數量也高居不下。
2013 年 Microsoft 啟動 Mitigation Bypass Bounty 項目，對能繞過最新系統的防御措施的攻擊技術， 提供最高 10 萬美元的獎。此外， Google、Apple 等廠商也都推出漏洞懸賞計劃，鼓研究人員挖掘 更多的產品漏洞，在這種利與名的雙重驅動下，越界訪問、釋放后重用等新類型的漏洞一度呈現快速增 長的趨勢。
2014 年后 Microsoft 引入堆隔離和延遲釋放等新的安全防護機制，同時在新版本操作系統中支持控 制流保護，這些防護機制大大增加了漏洞利用難度和門檻。
2015 年 Microsoft 新發布了 Edge 瀏覽器，并作為 Windows 10 操作系統的默認瀏覽器，攻擊者的 目標也漸漸從 Internet Explorer 轉向 Edge 瀏覽器，Edge 瀏覽器的漏洞數量逐漸上升，Internet Explorer 的數量逐漸下降。近年來，各大瀏覽器為了提高網頁的加載和 JavaScript 腳本的運行速度，大量使用 了即時編譯 (Just-in-time) 系統，一時間 JIT 引擎成為攻擊者主要的目標，大量因過度優化腳本代碼導 致數組長度，對象類型等校驗錯誤的類型混淆和數組越界漏洞出現。
瀏覽器的漏洞總量近年來雖然略有下降，但將其作為攻擊的入口在實際利用中深得攻擊者的關注。 根據綠盟威脅情報中心監測到的攻擊事件，本文分析了應用軟件漏洞利用分布，如圖 3.2 所示，可以看 到瀏覽器漏洞在網絡攻擊中達到了 48.44% 的比例，用戶需要加強防護，盡快淘汰歷史版本，及時打補丁，
更新軟件。
13.08% 其他
圖 3.2 應用軟件漏洞利用分布
2. 文檔類型漏洞利用情況解析
通過對 APT攻擊的研究發現，利用文件格式漏洞的魚叉式釣魚攻擊已成為網絡安全的主要威脅之一。 PDF、doc(x)、xls(x)、ppt(x) 等文件格式具有跨平臺、應用范圍廣、用戶基數大的特點，受到了攻擊者 的持續關注，目標主機上的相應程序一旦存在安全漏洞就會被輕易攻破。本文統計了常見文檔處理軟件 的漏洞分布，如圖 3.3 所示。
圖 3.3 文檔類型漏洞分布
Acrobat Reader 為載體的 PDF 漏洞數量共 1823 個，占據文檔類型的 59.07%，PDF 文件格式復雜， 支持 Javascript 腳本的執行，可以通過 Javascript 調用函數觸發漏洞；支持嵌入圖片 /XML等外部文件， 可以利用 PDF 中的關鍵字、XFA(XML Forms Architecture) 結構等嵌入遠程文檔以實現信息泄漏。
PDF 漏洞數量在常用文檔處理軟件中最多，但在實際攻擊場景中利用卻并不常見，最近的在實際場 景中的漏洞利用要追溯到 2018 年 6 月的 CVE-2018-49901 Adobe Acrobat and Reader 堆內存越界訪問 釋放漏洞，主要原因如下：

Adobe 公司在 PDF 閱讀器軟件上同時維護多條產品線。針對 PDF 格式文件閱讀器的這一需求， Adobe 公司提供了 Adobe Acrobat 系列、Reader DC 系列以及已經停止維護的 Adobe Reader 系 列產品。根據 Adobe 官方網站的介紹，每種產品的功能略有不同。通過對具體產品的分析調試 可知，同一功能點在不同的產品中實現細節上會有些許差異。因此在其中一個產品上發現了漏洞， 有一定概率不會在另一個產品上出現。如果將上圖的接近 60% 的漏洞數量拆分的話，也會發現 每種產品占比平均不到 20%，在正常范圍內。更進一步說，即使在不同系列產品上發現了相同 功能點的同一漏洞，為了在多款產品上可以成功觸發利用，就需要進行適配。不但增加了攻擊 者的攻擊成本，還會使最終的惡意文件體積臃腫，增加了被用戶和防御工具發現的機會。另一 方面用戶使用版本的多樣性也降低了攻擊成功的幾率。

Adobe 公司 PDF 閱讀器自身防護的提高。2017 年 Adobe 公司在 Adobe Reader 10 中正式引入 了沙箱機制。通過引入該機制，可以有效地阻止惡意代碼的執行，并阻止對用戶系統的提權行為， 增加了攻擊難度。

PDF 漏洞利用方式套路化。針對 PDF 的漏洞利用目前主要的方式為在 PDF 文件中嵌入 Javascript 腳本，通過 Javascript 腳本實現沙箱繞過及后續攻擊步驟。一方面攻擊腳本呈現套 路化，有較為固定的模式，另一方面用戶通常使用的 PDF 文件不會嵌入 Javascript 腳本。最終 導致對包含惡意 Javascript 腳本的 PDF 文件檢測率較高。
雖然 PDF 的在野利用不多，但是由于其自身的應用廣泛，功能豐富，同時可以嵌入 Javascript 腳 本的便利性等特點，針對 Adobe 公司 PDF 閱讀器的漏洞利用成為了每年國際國內比賽上的一個重要項 目。
[^1]Office 相關的漏洞數量雖然比 PDF 格式的要少，但在實際攻擊中備受黑客關注，大部分 APT組織 也會選擇利用 Office 的高危漏洞進行攻擊。從早些年的 ActiveX漏洞 CVE-2012-0158 到近些年新出的 OLE2Link對象邏輯漏洞 CVE-2017-0199、公式編輯器漏洞 CVE-2017-11882、EPS 腳本解析漏洞 CVE- 2017-0262 等，每一個漏洞的殺傷力都十分巨大。
早期 Office 漏洞主要發生在模塊解析處理的過程中，隨著 Microsoft 不斷完善安全措施，對軟件持 續更新，現在的 Office 漏洞已經轉向了通過鏈接、嵌入對象加載其他有漏洞模塊。從實際攻擊的角度看， 由于 Windows 操作系統下，Microsoft 的 Office 系列辦公軟件的使用量占有絕對的優勢，相比 PDF 而 言，攻擊者在準備 Word、Excel、PowerPoint 等 Office 系列軟件的漏洞利用文檔時，只需考慮版本兼容， 不需過多考慮產品兼容，一個穩定的漏洞利用文檔基本可以實現一個產品的全覆蓋。同時從對實際攻擊 事件的檢測可以看到攻擊者在 Office 漏洞利用中更加偏向成熟穩定的漏洞，以 CVE-2017-11882 公式編 輯器漏洞為主 123 。

參考資料

綠盟 漏洞發展趨勢報告

友情鏈接

GB-T 35373-2018 信息安全技術 個人信息安全規范

總結

以上是生活随笔為你收集整理的浏览器漏洞种类复杂多样的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。