到目前為止,事實證明,2021年對科技巨頭微軟來說算得上“安全重災年”,許多漏洞影響了其多項領先服務,包括Active Directory、Exchange和Azure。微軟經常淪為試圖利用已知漏洞和零日漏洞攻擊者的目標,但自今年3月初以來,它所面臨的事件發生率和規模已經讓這家科技巨頭亂了陣腳。
以下是2021年困擾微軟的重大安全事件時間表:
3月2日:Microsoft Exchange Server漏洞
第一個值得關注的安全事件發生在3月,當時微軟宣布其Exchange Server中存在漏洞CVE-2021-26855。該漏洞可在一個或多個路由器的協議級別遠程執行和利用。雖然該攻擊復雜性被歸類為“低”,但微軟表示CVE-2021-26855正在被積極利用。
更重要的是,該漏洞可以在沒有任何用戶交互的情況下被利用,并導致設備完全喪失機密性和保護。根據微軟的說法,拒絕對443端口上Exchange服務器的不可信訪問,或者限制來自公司網絡外部的連接,以阻止攻擊的初始階段。但是,如果攻擊者已經在基礎架構中,或者如果攻擊者獲得具有管理員權限的用戶來運行惡意文件,這將無濟于事。
隨后,Microsoft發布了安全補丁并建議緊急在面向外部的Exchange服務器上安裝更新。
6月8日:微軟修補了六個零日安全漏洞
微軟針對影響各種Windows服務的安全問題發布了補丁,其中六個嚴重漏洞已經成為攻擊者的積極目標。這6個零日漏洞是:
CVE-2021-33742:Windows HTML組件中的遠程代碼執行漏洞;
CVE-2021-31955:Windows內核中的信息泄露漏洞;
CVE-2021-31956:Windows NTFS中的提權漏洞;
CVE-2021-33739:Microsoft桌面窗口管理器中的特權提升漏洞;
CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特權提升漏洞;
CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特權提升漏洞;
7月1日:Windows Print Spooler漏洞
安全研究人員在GitHub上公開了一個Windows Print Spooler遠程代碼執行0day漏洞(CVE-2021-34527)。需要注意的是,該漏洞與Microsoft 6月8日星期二補丁日中修復并于6月21日更新的一個EoP升級到RCE的漏洞(CVE-2021-1675)不是同一個漏洞。這兩個漏洞相似但不同,攻擊向量也不同。
微軟警告稱,該漏洞已出現在野利用。當 Windows Print Spooler 服務不正確地執行特權文件操作時,存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼、安裝程序、查看并更改或刪除數據、或創建具有完全用戶權限的新帳戶,但攻擊必須涉及調用 RpcAddPrinterDriverEx() 的經過身份驗證的用戶。
專家建議的緩解措施包括立即安裝安全更新,同時確保以下注冊表設置設置為“0”(零)或未定義:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
8月:研究人員披露Microsoft Exchange Autodiscover漏洞
Autodiscover是Microsoft Exchange用來自動配置outlook這類Exchange客戶端應用的工具。8月份,安全供應商Guardicore的研究人員發現,Microsoft Exchange Autodiscover存在一個設計缺陷,導致該協議將Web請求“泄漏”到用戶域外的Autodiscover域,但仍在同一頂級域(TLD)中,例如 Autodiscover.com。
事實上,Autodiscover漏洞并不是一個新問題。早在2017年,Shape Security就首次披露了該核心漏洞,并在當年的Black Hat Asia上展示了調查結果。當時,CVE-2016-9940 和 CVE-2017-2414 漏洞被發現僅影響移動設備上的電子郵件客戶端。不過,Shape Security披露的漏洞已得到修補,而在2021年更多第三方應用程序再次面臨相同的問題。
與此同時,微軟開始調查并采取措施減輕威脅以保護客戶。微軟高級主管Jeff Jones表示,“我們致力于協調漏洞披露,這是一種行業標準的協作方法,可在問題公開之前降低客戶面臨不必要的風險。不幸的是,這個問題在研究人員向媒體披露之前并沒有報告給我們,所以我們今天才知道這些說法。而且,我的報告也清楚地引用了2017 年提出這個問題的研究。這不是零日漏洞,它已經存在了至少1460天。微軟不可能不知道這個漏洞。”
8月26日:研究人員訪問了數千名Microsoft Azure客戶的數據
8 月 26 日,云安全供應商Wiz宣布,在Microsoft Azure的托管數據庫服務Cosmos DB中發現了一個漏洞, Wiz將其命名為“Chaos DB”,攻擊者可以利用該漏洞獲得該服務上每個數據庫的讀/寫訪問權限。盡管Wiz在兩周前才發現了該漏洞,但該公司表示,該漏洞已經在系統中存在“至少幾個月,甚至幾年”。
被告知存在漏洞后,微軟安全團隊禁用了易受攻擊的Notebook功能,并通知超過30%的Cosmos DB客戶需要手動輪換訪問密鑰以減少風險,這些是在Wiz探索漏洞一周左右內啟用了Jupyter Notebook功能的客戶。此外,微軟還向Wiz支付了40,000美元的賞金。目前,微軟安全團隊已經修復了該漏洞。
9月7日:Microsoft MSHTML漏洞
9月7日,微軟發布安全通告披露了Microsoft MSHTML遠程代碼執行漏洞(CVE-2021-40444),攻擊者可通過制作惡意的ActiveX控件供托管瀏覽器呈現引擎的Microsoft Office文檔使用,成功誘導用戶打開惡意文檔后,可在目標系統上以該用戶權限執行任意代碼。微軟在通告中指出已檢測到該漏洞被在野利用,請相關用戶采取措施進行防護。
據悉,MSHTML(又稱為Trident)是微軟旗下的Internet Explorer 瀏覽器引擎,也用于 Office 應用程序,以在 Word、Excel 或 PowerPoint 文檔中呈現 Web 托管的內容。AcitveX控件是微軟COM架構下的產物,在Windows的Office套件、IE瀏覽器中有廣泛的應用,利用ActiveX控件即可與MSHTML組件進行交互。
微軟于9月14日發布了安全更新以解決該漏洞,并敦促客戶及時更新反惡意軟件產品。
9月14日:微軟披露了幾個未被利用的漏洞
在發布安全更新以緩解Trident漏洞的同一天,微軟發布了有關其服務中大量未利用(在披露時)漏洞的詳細信息。
CVE-2021-36968:Windows DNS中的提權漏洞。攻擊者通過本地(例如鍵盤、控制臺)或遠程(例如SSH)訪問目標系統來利用該漏洞;或者攻擊者依賴他人的用戶交互來執行利用漏洞所需的操作(例如,誘騙合法用戶打開惡意文檔)。該漏洞攻擊復雜度和所需權限低,無需用戶交互即可本地利用。
CVE-2021-38647:影響Azure開放管理基礎結構(OMI)的遠程代碼執行漏洞。該漏洞的攻擊復雜性較低,無需用戶交互,并且可能導致完全拒絕訪問受影響組件中的資源。8月11日在GitHub上發布了修復程序,以允許用戶在發布完整的CVE詳細信息之前降低風險。
CVE-2021-36965:影響Windows WLAN AutoConfig服務的漏洞。該漏洞綁定到網絡堆棧,但攻擊僅限于協議級別的邏輯相鄰拓撲。這意味著攻擊必須從相同的共享物理或邏輯網絡發起,或者從安全或其他受限的管理域內發起。該漏洞利用僅限于由同一安全機構管理的資源。
CVE-2021-36952:該遠程代碼執行Visual Studio可能導致攻擊者完全拒絕訪問受影響組件中的資源。
CVE-2021-38667:影響Windows Print Spooler的新提權漏洞。攻擊者被授權(即需要)提供基本用戶功能的特權,這些功能通常只能影響用戶擁有的設置和文件。或者,具有低權限的攻擊者可能有能力僅對非敏感資源造成影響。CVE-2021-36975和CVE-2021-38639:微軟也共享了兩個影響Win32k的新特權提升漏洞。兩者都有可能被攻擊者反復成功利用。
9月16日:攻擊者利用ManageEngine ADSelfService Plus中的漏洞
來自FBI、美國海岸警衛隊網絡司令部(CGCYBER)和CISA的聯合咨詢警告稱,Zoho ManageEngine ADSelfService Plus平臺存在嚴重的身份驗證繞過漏洞,該漏洞可導致遠程代碼執行(RCE),從而為肆無忌憚的攻擊者打開公司大門,攻擊者可以自由控制用戶的Active Directory(AD)和云帳戶。
Zoho ManageEngine ADSelfService Plus是一個針對AD和云應用程序的自助式密碼管理和單點登錄(SSO)平臺,這意味著任何能夠控制該平臺的網絡攻擊者都會在兩個關鍵任務應用程序(和他們的敏感數據)中擁有多個軸心點。換句話說,它是一個功能強大的、高度特權的應用程序,無論是對用戶還是攻擊者都可以作為一個進入企業內部各個領域的便捷入口點。
9月27日:APT29以Active Directory聯合身份驗證服務為目標
安全研究人員標記了一個與俄羅斯政府有聯系的網絡間諜組織,該組織部署了一個新的后門,旨在利用Active Directory聯合服務(AD FS)并竊取配置數據庫和安全令牌證書。微軟將惡意軟件程序FoggyWeb歸咎于NOBELIUM(也稱為 APT29 或 Cozy Bear)組織——被認為是 SUNBURST后門的幕后黑手。微軟表示已通知所有受影響客戶,并建議用戶:
審核本地和云基礎架構,包括配置、每個用戶和每個應用程序的設置、轉發規則以及參與者可能為維持訪問而進行的其他更改;
刪除用戶和應用程序訪問權限,審查每個用戶/應用程序的配置,并按照記錄在案的行業最佳實踐重新頒發新的、強大的憑據;
使用硬件安全模塊(HSM)以防止FoggyWeb泄露機密數據;
10月:發布并修復4個零日漏洞
10月12日,微軟發布了4個0day漏洞,它們分別為:
CVE-2021-40449:Win32k權限提升漏洞。調查顯示,有黑客組織在利用該0day漏洞進行針對IT公司、軍事/國防承包商和外交實體的廣泛間諜活動。攻擊者通過安裝遠程訪問木馬,利用該漏洞獲取更高的權限。
CVE-2021-40469:Windows DNS服務器遠程代碼執行漏洞。在域控制器上實現遠程代碼執行的攻擊者獲取域管理員權限的后果很嚴重,不過幸好,該漏洞很難武器化。
CVE-2021-41335:Windows內核權限提升漏洞。該漏洞已公開披露在POC(概念驗證)中,成功利用可允許攻擊者在內核模式下運行任意代碼,這種漏洞通常是攻擊鏈中重要的一部分。
CVE-2021-41338:Windows AppContainer防火墻規則安全功能繞過漏洞。AppContainer能夠阻止惡意代碼,防止來自第三方應用的滲透。而該漏洞允許攻擊者繞過Windows AppContainer防火墻規則,且無需用戶交互即可加以利用。
微軟仍然是重點攻擊目標
正如過去幾個月發生的事件所示,Microsoft 服務仍然是攻擊和漏洞利用的重要目標,而其中的漏洞更是層出不窮。Forrester研究總監兼首席分析師Merritt Maxim表示,“微軟應用程序和系統仍然是黑客眼中的高價值目標,因為它們在全球范圍內廣泛部署。”
Maxim估計,大約80%的企業都以某種形式在全球范圍內使用Microsoft Active Directory。鑒于Active Directory正充當用戶身份驗證憑據(以及其他功能)的存儲庫,而身份驗證憑據對于黑客來說又是極具價值的數據源,因此黑客將繼續針對Microsoft系統實施攻擊。
攻擊者會根據價值選擇自己的目標,系統或程序越流行,它對黑客的價值就越大。此外,由于微軟的復雜性和廣泛性,其暴露的攻擊面也異常大,其中大部分還是可以遠程訪問的。流行度和大規模遠程可訪問攻擊面的結合創造了一個完美的目標。
微軟對安全事件的回應
在反思微軟對安全事件的反應和處理時,Netenrich 首席威脅獵手John Bambenek表示,該公司總體上做得很好。如果有需要改進的地方的話,他們可能需要擁有最完善的產品安全流程。
Maxim對此表示贊同。他表示,“考慮到他們的系統無處不在,想要跟蹤每個可能的漏洞是一項不可能完成的任務。微軟需要繼續加大投資其原生產品的安全功能,并通過微軟威脅情報中心等機構繼續提供對影響其平臺的新興惡意軟件的詳細分析和調查,以使企業了解情況并受到保護。”
不過,即便微軟迅速做出反應并嘗試修補漏洞,但由于最近的幾個補丁不完整,還是導致了大規模的漏洞利用。Kolodenker解釋稱,“許多Microsoft高危漏洞都是合法的安全專業人員發現的,只有在最初的補丁發布后,攻擊者才開始猖獗利用。而在補丁廣泛采用之前發布概念公開證明(PoC)只會進一步加劇這種情況。”
這就是為什么組織不能僅僅依賴服務提供商提供的安全更新和修復,他們自己也必須承擔一部分責任,及時應用安全補丁和修復程序來減輕“以漏洞為中心”的漏洞利用和攻擊風險。
Jartelius提倡將預防性和反應性方法相結合。他表示,“就像我們反復測試火警系統一樣,我們也應該測試這些安全防御機制。使用內部或外部團隊來模擬真實攻擊,同時,練習觀察和響應攻擊的公司,通常會在淪為現實世界的目標之前及時發現自身存在的防御缺陷。”
