就应用程序和操作系统的新漏洞和漏洞利用技术而言,2024年第二季度可谓是多事之秋。通过易受攻击的驱动程序进行攻击已成为操作系统中权限提升的一种通用手段。这种攻击值得注意的地方在于,漏洞不一定是最新的,因为攻击者自己会向系统提供未打补丁的驱动程序。本报告考虑了网络犯罪分子可用于攻击目标系统的公开研究的统计数据,并提供了漏洞的统计快照。
已注册漏洞的统计数据
在本节中,卡巴斯基根据cve.org门户的数据查看了已注册漏洞的统计信息。
数据显示,在2024年第二季度,注册的漏洞数量超过了去年同期的数字,并且可能会进一步增长,因为一些漏洞在注册后不会立即添加到 CVE 列表中。这一趋势与第一季度报告中指出的已注册漏洞数量的总体上升是一致的。
【2023年第二季度和2024年第二季度已注册漏洞总数和关键漏洞数量】
比较2019-2024年期间的数据可以看到,在2024年上半年,注册的漏洞总数略低于2023年全年的一半。但值得注意的是,注册的漏洞数量呈逐季上升趋势,因此我们不能肯定地说到今年年底它不会超过2023年的数字。
【2019-2024年漏洞数量、关键漏洞和存在漏洞利用的漏洞比例】
上述图表还显示了在所有已注册的漏洞中,关键漏洞和有公开描述或概念证明的漏洞所占的份额。后者在第二季度所占份额的下降表明,已注册漏洞的数量增长速度快于已发布的漏洞利用数量。
与2023年相比,关键漏洞所占比例也略有下降。但构成最大风险的仍然是关键漏洞。为了了解组织可能面临的风险,以及这些风险如何随时间的推移而变化,让我们来看看构成2023年第二季度和2024年第二季度注册的关键CVE总数的漏洞类型。
【2023年第二季度注册的关键CVE漏洞类型】
【2024年第二季度注册的关键CVE漏洞类型】
如上所见,即使有CVE条目,大多数问题仍未分类,需要进一步调查以获取详细信息,这可能会严重阻碍系统防护工作,以遏制这些潜在漏洞。除了未分类的关键漏洞外,2023年第二季度还包括以下常见问题:
- CWE-89:SQL命令中使用的特殊元素的不当中和(SQL注入);
- CWE-78:操作系统命令中使用的特殊元素的不当中和(操作系统命令注入);
- CWE-74:下游组件(注入)在输出中对特殊元素的不当中和;
2024年第二季度也出现了一些值得注意的漏洞类型:
- CWE-434:无限制上传危险类型的文件;
- CWE-89:SQL命令中使用的特殊元素的不当中和(SQL注入);
- CWE-22:对受限目录的路径名进行不当限制(路径遍历);
上述两个最常见类型的列表都表明,绝大多数分类的关键漏洞都已注册为Web应用程序。根据开源信息,Web应用程序中的漏洞确实是最关键的,因为Web应用程序包括可以访问敏感数据的软件,例如文件共享系统、控制VPN访问的控制台以及云和物联网系统。
漏洞利用统计数据
本节介绍了从开源和卡巴斯基内部遥测获取的2024年第二季度的漏洞利用统计数据。
漏洞利用弥足珍贵,其保质期可以以天为单位,甚至以小时为单位计算。另一方面,创建它们是一个漫长的过程,根据漏洞利用的类型而有所不同。以下是Windows和Linux平台用户受到漏洞攻击的统计数据。
Windows和Linux漏洞利用
自今年年初以来,研究人员发现Windows漏洞触发卡巴斯基解决方案的数量有所增加,这主要归咎于网络钓鱼电子邮件尝试和试图通过漏洞利用获得对用户系统的初步访问权限。其中最流行的是针对Microsoft Office套件中的漏洞利用:
- CVE-2018-0802——Equation Editor组件中的远程代码执行漏洞;
- CVE-2017-11882——Equation Editor中的另一个远程代码执行漏洞;
- CVE-2017-0199——Microsoft Office和写字板中的远程代码执行漏洞;
- CVE-2021-40444——MSHTML组件中的远程代码执行漏洞;
【2023年第一季度至2024年第二季度遭遇漏洞利用的Windows用户数量动态。2023年第一季度遭遇漏洞利用的用户数为100%】
请注意,由于具有相似的检测模式,归类为CVE-2018-0802和CVE-2021-40444的漏洞可能包括CVE-2022-30190(Microsoft支持诊断工具中的远程代码执行)和CVE-2023-36884(Windows Search组件中的远程代码执行)漏洞,这些漏洞也仍然是实时威胁。
随着Linux在企业领域的应用普及,它在漏洞利用方面也显示出增长趋势;然而,与Windows相比,Linux漏洞主要针对内核:
- CVE-2022-0847——Linux内核中的权限提升漏洞;
- CVE-2023-2640——Ubuntu内核中的权限提升漏洞;
- CVE-2021-4034——用于以其他用户身份执行命令的pkexec实用程序中的权限提升漏洞;
【2023年第一季度至2024年第二季度遭遇漏洞利用的Linux用户数量动态。2023年第一季度遭遇漏洞利用的用户数为100%】
大多数针对Linux的漏洞都与权限提升有关,可用于在系统中获取持久性和运行恶意代码。这可能是因为攻击者经常以需要高权限才能获得控制权的Linux服务器为目标。
最常见的漏洞利用
在第二季度中,存在公开漏洞利用的关键漏洞的分布发生了变化。请参阅下面的图表,了解第一季度和第二季度的可视化比较。
【按平台划分的关键漏洞利用分布(2024年第一季度)】
【按平台划分的关键漏洞利用分布(2024年第二季度)】
与第一季度相比,第二季度操作系统中漏洞利用的份额有所增加。这是因为研究人员倾向于在夏季网络安全会议之前发布概念验证代码(PoC)。因此,在第二季度发布了大量的操作系统漏洞。此外,在报告期内,Microsoft Sharepoint中漏洞利用的份额有所增加,几乎没有针对浏览器的新漏洞利用。
APT攻击中的漏洞利用
卡巴斯基研究人员还分析了高级持续性威胁(APT)中最常用的漏洞类型。以下排名基于卡巴斯基的遥测、研究和开源数据。
【2024年第二季度APT攻击中最常利用的10大漏洞】
尽管APT攻击中常见的漏洞列表与第一季度相比截然不同,但攻击者最常利用相同类型的软件/硬件解决方案的漏洞来访问组织的内部网络:远程访问服务、访问控制机制和办公应用程序。请注意,该排名中2024年的漏洞在发现时就已经被利用,也就是说,它们是零日漏洞。
利用易受攻击的驱动程序攻击操作系统
本节介绍了使用易受攻击的驱动程序攻击Windows操作系统及其软件的公共漏洞利用。根据公开资料和卡巴斯基自己的数据显示,有数百个这样的易受攻击的驱动程序,并且新的驱动程序仍在不断涌现。
威胁行为者使用易受攻击的驱动程序作为“自带易受攻击的驱动程序 (BYOVD) 技术”的一部分。这涉及在目标系统上安装未打补丁的驱动程序,以确保该漏洞被用于在操作系统中进行权限提升或其他网络犯罪活动。这种方法最初被游戏作弊的创造者使用,但后来被网络犯罪分子采用。
整体来看,自2023年以来,利用易受攻击的驱动程序攻击Windows以提升权限和绕过安全机制的趋势有所上升。
BYOVD 攻击工具
易受攻击的驱动程序本身对于操作系统安全性来说就是一个足够严重的问题,但真正的破坏性活动需要客户端应用程序向驱动程序传递恶意指令。
自2021年以来已经陆续出现了24种在线工具,用于在权限提升和对特权进程的攻击中控制易受攻击的驱动程序,例如内置和第三方安全解决方案。具体如下所示:
【2021-2024年在线发布的用于控制脆弱驱动程序的工具数量】
正如我们所看到的,2023年是BYOVD攻击工具最丰富的一年。2024年上半年发布的工具数量比2021年和2022年的总和还要多。卡巴斯基进一步评估了在实际攻击中使用此类软件的趋势,具体所下所示:
【2024年第一季度和第二季度,在卡巴斯基产品上遭受使用易受攻击的驱动程序攻击的用户数量动态;2024年第一季度的数据为100%】
随着BYOVD攻击数量的增加,利用易受攻击驱动程序的工具开发人员开始出售它们,因此我们看到使用易受攻击的驱动程序进行攻击的已发布工具数量有所下降。但是,如前所述,它们仍继续公开提供。
有趣的漏洞
本节提供有关2024年第二季度注册的相关漏洞的信息。
CVE-2024-26169(WerKernel.sys)
Werkernel.sys是Windows错误报告(WER)子系统的驱动程序,CVE-2024-26169是在调查与勒索软件攻击相关的事件时发现的零日漏洞。这是由werkernel.sys使用null安全描述符引起的,该描述符处理访问级别。这允许任何用户与驱动程序交互,例如,重写注册表项HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe的值。此键存储有关负责对Windows中的应用程序进行错误处理的应用程序的数据。
对利用算法的检查揭示了以下事件:
【漏洞利用生成的事件列表】
该漏洞利用试图执行准备操作以创建特殊的注册表键,这些注册表键允许使用SYSTEM用户权限重新启动注册表中指定的可执行文件。该漏洞利用本身基于竞态条件漏洞,因此其成功与否取决于启动它的系统。
CVE-2024-26229(csc.sys)
Csc.sys是Windows中的另一个与Windows客户端缓存(CSC)服务有关的驱动程序。CVE-2024-26229是一个权限提升漏洞,它清楚地说明了操作系统驱动程序中代码不安全的问题。在Microsoft门户网站上发布有关此漏洞的信息几天后,一个PoC就发布了并在网上传播,并针对各种格式和框架进行了重写以进行渗透测试。
该漏洞利用非常易于使用,包括Write原语(写入任意内核位置)和内核对象地址泄漏原语的“经典”组合。
该漏洞是使用IOCTL触发的,这意味着与易受攻击的驱动程序的通信方法在许多方面类似于BYOVD攻击方法。
该漏洞利用的主要算法旨在修改用户运行进程的PRIMARY_TOKEN结构。这是通过易受攻击的驱动程序的能力实现的。
CVE-2024-4577(PHP CGI)
CVE-2024-4577源于绕过传递给Web应用程序的参数验证。从本质上讲,该漏洞的存在是因为CGI模式下的PHP可能无法完全验证某些语言页面的危险字符。网络犯罪分子可以利用这一特性执行标准的操作系统命令注入攻击。
在使用以下语言设置的系统中会出现验证问题:
- 繁体中文(代码页950)
- 简体中文(代码页936)
- 日语(代码页932)
请注意,CGI模式目前不是很流行,但可以在XAMPP Web服务器等产品中找到。
利用该漏洞的原因是,要绕过过滤器参数,只需在基于中文字符的书写系统中用等效的 Unicode 符号“-”(软连字符)替换普通破折号就足够了。因此,该查询将使用可以运行其他命令的数据得到补充。在进程树中,完整的漏洞利用如下所示:
【利用CVE-2024-4577期间受害者系统中的进程树】
结语和建议
就质量和数量而言,漏洞及其有效利用每个季度都在继续增长,威胁行为者正在寻找让已修补漏洞复活的方法。利用这种漏洞的主要技巧之一是BYOVD技术,即攻击者自己将易受攻击的驱动程序加载到系统中。公共领域中存在的各种示例和工具包允许网络犯罪分子快速调整易受攻击的驱动程序,以满足他们的需求。展望未来,这种技术将在攻击中得到更积极、广泛地应用。
为了保障安全,组织可以遵循如下实践,以及时应对不断变化的威胁形势:
- 彻底了解和监控您的基础设施,尤其要注意外围和边缘;了解自己的基础设施对于确保其安全至关重要。
- 引入有效的补丁管理,以及时检测和消除基础设施漏洞,包括攻击者用于潜入网络的易受攻击的驱动程序。
- 使用全面的安全解决方案,为工作站提供强大的保护并尽早检测和预防任何复杂的攻击。收集来自全球各地的实时网络攻击数据,并为员工提供基本的数字素养技能。
原文链接:
https://securelist.com/vulnerability-exploit-report-q2-2024/113455/