隨著Angler與其它多種漏洞工具包將Flash與Silverlight漏洞納入清單，我們需要時刻關(guān)注最新補(bǔ)丁以避免受到影響。

勒索軟件攻擊活動近來持續(xù)興起，而人們給出的主要應(yīng)對方式在于建立強(qiáng)大的備份策略并開始爭論是否該為其交付贖金。不過除了問題本身，我們也應(yīng)該認(rèn)真考慮如何利用良好的補(bǔ)丁管理策略以搶先一步解決問題。

[[164740]]

過去幾個月以來，眾多主流漏洞工具包已經(jīng)將勒索軟件納入清單。這些工具包主要著眼于指向Adobe Flash與微軟Silverlight安全漏洞的勒索軟件，包括Cryptowall、AlphaCrypt以及TeslaCrypt等等，Recorded Future在分析報告中指出。研究人員們發(fā)現(xiàn)，近來出現(xiàn)的Flash與Silverlight漏洞修復(fù)補(bǔ)丁已經(jīng)成為應(yīng)對Angler、Neutrino以及Nuclear等漏洞工具包內(nèi)相關(guān)勒索軟件的“關(guān)鍵性途徑”。

“最近發(fā)布的漏洞修復(fù)補(bǔ)丁能夠顯著緩解勒索軟件的肆虐程度，”Recorded Future研究員Scott Donnelly寫道。

Recorded Future發(fā)現(xiàn)，Angler已經(jīng)納入了Silverlight的一項遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-0034)，而TeslaCrypt最初于今年2月對其加以利用。微軟公司曾經(jīng)在1月的安裝補(bǔ)丁中對其進(jìn)行了修復(fù)，并指出其已經(jīng)受到了“一定數(shù)量的攻擊”。而在幾周后，其才被納入Angler并廣泛用于攻擊活動。

Adobe公司也已經(jīng)修復(fù)了Flash播放器中的堆緩沖區(qū)溢出漏洞(CVE-2015-8446)以及整數(shù)溢出漏洞(CVE-2015-8951)，具體時間點為去年12月。編號為CVE-2015-7654的類型混淆漏洞則于去年10月得到修復(fù)。當(dāng)時Adobe曾表示其中的整數(shù)溢出與類型混淆漏洞“只出現(xiàn)在數(shù)量有限的針對性攻擊中”。

Angler、Neutrino、Magnitude、RIG以及Nuclear等漏洞工具包目前已經(jīng)包含至少一種以上提到的Flash漏洞。截至目前，Angler為惟一包含三種漏洞的工具包，Recorded Future指出。

過去幾個月來，北美與歐洲地區(qū)的一些市級醫(yī)療與警用計算機(jī)已經(jīng)遭到勒索攻擊。“糟糕的補(bǔ)丁安裝與令人失望的安全投入導(dǎo)致當(dāng)?shù)毓舶踩c政府機(jī)構(gòu)的電腦系統(tǒng)面臨風(fēng)險，”Donnelly表示。

別讓壞人有機(jī)可乘

漏洞工具包往往依靠過時的軟件缺陷與安全漏洞實現(xiàn)攻擊活動。受害者不需要點擊并下載任何惡意軟件——該漏洞工具包會利用探針識別系統(tǒng)中的漏洞軟件并啟動相應(yīng)漏洞。

這些攻擊活動之所以能夠成功，是因為安全更新發(fā)布與安全更新安裝之間存在時間差。工具包不需要使用任何零日漏洞，因為機(jī)會窗口與受害者數(shù)量已經(jīng)足夠龐大。一些更為先進(jìn)的漏洞工具包——例如Angler——能夠非常及時地在幾周甚至幾天之內(nèi)納入最新漏洞。

Angler還促成了最近被廣泛關(guān)注的幾次惡意廣告勒索行為，包括在合法網(wǎng)站上顯示惡意廣告(包括MSN以及其它媒體渠道)，并將用戶重新定向至存在漏洞工具包的網(wǎng)站處。保持操作系統(tǒng)處于最新版本并對各類主流軟件安裝修復(fù)補(bǔ)丁——包括網(wǎng)絡(luò)瀏覽器、Flash播放器、Silverlight以及Java等——能夠有效降低勒索軟件的成功機(jī)率。

當(dāng)然，推遲補(bǔ)丁安裝也可能出于某些商業(yè)理由。宕機(jī)時間是其中最重要的因素，而且技術(shù)人員需要對每項補(bǔ)丁進(jìn)行測試以確保其與其它已安裝應(yīng)用程序相兼容。

“修復(fù)漏洞會給業(yè)務(wù)帶來嚴(yán)重影響，因為補(bǔ)丁安裝可能導(dǎo)致停機(jī)時間以及兼容性問題。因此要想解決補(bǔ)丁安裝難題，理想的補(bǔ)丁管理方案可謂至關(guān)重要，”Donnelly指出。

需要優(yōu)先安裝的補(bǔ)丁

Recorded Future給出建議，提醒我們優(yōu)先修復(fù)Flash與Silverlight中的安全漏洞。另外Flash還曾于2015年曝出過8項常見安全漏洞，具體編碼分別為CVE-2015-0313、CVE-2015-5119,、CVE-2015-5122、CVE-2015-0359、CVE-2015-3113、CVE-2015-0311、CVE-2015-3090以及CVE-2015-0336。

而卸載使用頻率較低的軟件也是個好主意，因為這能有效減小攻擊面。不過對于大量使用Flash、Java以及Silverlight等主流軟件的企業(yè)來說，此類作法顯然幫不上忙。他們需要經(jīng)常更新補(bǔ)丁以領(lǐng)先于漏洞工具包的升級節(jié)奏。

勒索軟件還提供多種不同的攻擊微量，包括帶有惡意附件的垃圾郵件、存在可疑鏈接的釣魚郵件以及包含誘殺文件的網(wǎng)站，漏洞工具包只是其載體之一。不過及時安裝補(bǔ)丁并降低勒索軟件感染威脅能夠幫助企業(yè)至少解決一種常見的惡意攻擊場景。