相互找漏洞的巨头
全世界有不少黑帽、白帽在挖掘漏洞。其中黑帽就属于我们常说的,利用漏洞发起攻击的骇客。而白帽,则是与之相反,他们对网络安全有着极大的兴趣,并通过个人技能帮助企业挖掘漏洞。这对于软件厂商来说是非常有益处的,所以国内外的多数软件厂商,会建立自有的威胁情报平台(SRC),通过设置奖励、赏金的方式,收集这些外界挖掘的漏洞。
一些大厂及时响应自身的漏洞外,也会关注与用户相关的其他产品漏洞,以及前沿技术的漏洞研究。这就不得不提到谷歌和微软这对“冤家”了。这两大厂商之间一直存在争端,在漏洞这事儿上也是如此,互相找漏洞的情况已经是司空见惯。曾有报道称,在某一期的微软产品更新中,有一半漏洞都是由谷歌工程师发现的。
这样的“相互竞争”其实可以算一件好事,毕竟漏洞少一个用户就更安全一分。不过这两个“当事人”就没那么舒服了。曾多次出现谷歌在给微软递交漏洞信息后,微软没有在其规定期限给出补丁,最后谷歌将漏洞细节公开的情况。谷歌这样的作法也引起了微软方面的强烈控诉。
<<< 滑动查看更多图片 >>>
谷歌和微软争论的点在于漏洞如何披露这件事,其实对此安全界也一直在讨论。目前发现漏洞后披露的类型主要分为4种:不披露、完全披露、负责任的披露和协同披露。前两种很好理解,就是完全不公开,或者发现后直接公开。这对于软件厂商和用户来说,都存在较大弊端。所以有一部分厂商和安全研究员(如谷歌)选择“负责任的披露”,通过规定修复期限,即达到给外界公开漏洞信息的目的,又给了厂商修复的时间。当然这样漏洞发现者和厂商之间会因为修复时间而存在争议。微软从2010年开始推行漏洞“协同披露”机制,其建立在“负责任的披露”的基础上,引入了协调者(如国家级CERT、安全研究组织、中间平台等),达到双方协同合作的目的。
漏洞的“武器化”
玩过“我的世界”的同学应该都知道,身上不带点武器是无法生存的,基本也得带两把木剑,厉害的拿把钻石剑,再付个魔。在自己家里也得有个专门放武器的箱子。这些武器不仅需要收集材料,还得进行制作。像绒绒我这么机智(懒)的队友嘛,一般都是直接拿别人做好的用。
正如我们用素材制作剑和弓一样,漏洞也可以作为“素材”被用来“制作”成有破坏性的武器。这个过程,就可以说是漏洞的“武器化”了。将被“武器化”的漏洞和其他攻击工具、攻击技术综合起来,可以堪称为安全对抗中的"武器库"。最著名的“武器库”应该就是2016年,黑客团伙“影子经纪人”公开拍卖的美国国家安全局(NSA)的武器库。其中包含了永恒之蓝漏洞在内的多个漏洞以及攻击工具。
其他比较著名的“武器库”:
01
2017年,维基解密也曾公布了美国中情局(CIA)的“武器库”。其中包含各类设备的安全漏洞利用,以及远程控制、监听等多种间谍技术和工具。
02
FIREEYE 红队工具:FireEye(著名的安全公司) 在2020年12月8日透露,自己曾被入侵,黑客夺取了FireEye所使用的“网络武器库”,其实是FireEye自己使用的Red Team工具。
03
CANVAS:CANVAS是Immunity公司开发的专业安全工具包,为全球渗透测试人员和安全专业人员提供数百种漏洞利用,是一个自动化的漏洞利用系统以及一个全面、可靠的漏洞利用开发框架。
04
Hacking Team:Hacking Team是意大利监控软件厂商,曾一度以协助政府监视公民而“闻名于世”。
当漏洞出现PoC和EXP,就说明其威胁很大,甚至已经被利用。而如果漏洞一旦被“武器化”了,那么其风险等级就成倍数上涨了。这意味着对这个漏洞的利用变得更加容易和便捷,攻击者甚至不需要具备专业技术就可以使用。就好像我直接拿别人做好的剑使用一样。并且,各种黑客和组织还会不断更新、壮大自己的“武器库“。如随着“武器库”集成化程度越来越高,黑客攻击也降低了难度,这对为企业和用户的信息安全带来了更多的风险。
“旧漏洞”的持续威胁
IBM X-Force年初曾发布报告表示,2020年所发现的攻击趋势中,三大初始攻击媒介之一就是“漏洞的扫描和利用”。其中,威胁实施者更可能利用2019年或更早版本的漏洞,这是由于利用新漏洞存在一定难度,同时许多用户修补旧漏洞也存在一定难度。
这一内容与火绒威胁情报系统统计数据一致,我们发现,近半年被用来发起攻击的漏洞Top10,均为2020年及之前更早的漏洞。其中70%的漏洞公开时间在1年以上,最长时间已经长达13年。而高居首位的永恒之蓝漏洞,从公开至今也已经有4年时间了。
通过对这些漏洞分析发现,这些漏洞大多具备以下特点:
不需要登录验证和交互,直接通过网络就可以攻击、远程执行、默认系统开放对应端口、利用代码容易获得等。
简单总结就是:1、这些漏洞利用起来很简单;2、这些漏洞普遍已经被“武器化”,获取容易,使用简单。
也就是说,比起新发现的漏洞来说,有些漏洞虽然从发布时间来看比较“旧”,但由于其可利用性强,且外界已经有很多针对其开发的利用代码或工具,让这些旧漏洞具备“简单易用”的优势,受到黑客的青睐。再加上部分用户在漏洞修复方面有所欠缺,所以黑客利用这些旧漏洞的攻击仍然能“有所收获”。
无论是操作系统、业务系统还是物联网设备,均有可能出现高危漏洞,所以我们建议用户
1、及时关注各厂商的相关公告,进行版本升级、补丁更新。如果不便进行完整修复,也应该对一些关键性的漏洞进行修复。
2、使用防火墙、IDS、IPS等设备,并同时部署EDR等终端威胁防护系统,进一步深入实现防御。
很多领域都有存在漏洞的情况。比如法律漏洞、管理漏洞等等……漏洞的产生是因为人,也有人直接的说”人类就是最大的漏洞“。但正因如此,人们也在不断地挖掘和修复漏洞,在不断和漏洞对抗的过程中,尽可能的去提升自身能力。正如《托尔斯泰传》中说过的一句话:“人类的使命在于自强不息地追求完美”
如果你有感兴趣的安全话题,也可以在留言区告诉我们哦~