根據(jù)Check Point的年中報告，2020年上半年觀察到的攻擊中，80%使用2017年及更早時間報告和注冊的“舊漏洞”，超過20%的攻擊使用至少7年的高齡漏洞。這表明我們在保持軟件最新時有問題。

[[341751]]

根據(jù)SenseCy的最新研究，勒索軟件攻擊并不都是由Windows漏洞觸發(fā)的，很多攻擊者利用了用于遠程訪問Windows網(wǎng)絡(luò)的工具中的漏洞。以下是研究人員發(fā)現(xiàn)的勒索軟件熱衷使用的四大漏洞：

CVE-2019-19781：Citrix應(yīng)用程序交付控制器

CVE-2019-19781影響Citrix的遠程訪問設(shè)備，于2019年12月披露，1月修復(fù)。攻擊者使用Citrix漏洞作為入口點，然后轉(zhuǎn)向其他Windows漏洞以獲得進一步訪問。

正如FireEye博客文章中指出的，Ragnarok勒索軟件攻擊使用Citrix漏洞作為突破口，然后下載用作Windows證書服務(wù)一部分的本機工具(在MITRE ATT&CK框架中歸類為技術(shù)11005)。然后，攻擊者下載執(zhí)行since1969.exe二進制文件，該二進制文件位于目錄 C：\Users\Public中，并從當(dāng)前用戶的證書緩存中刪除URL。

為確保Citrix網(wǎng)關(guān)設(shè)備不受此漏洞影響，可以下載并使用GitHub上的FireEye/Citrix掃描工具(https://github.com/fireeye/ioc-scanner-CVE-2019-19781)。這一漏洞可用于傳播Sodinokibi/REvil、 Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等多個勒索軟件。Check Point的報告提到了類似的遠程訪問攻擊趨勢：使用遠程訪問技術(shù)(包括RDP和虛擬專用網(wǎng)導(dǎo)致RDP暴力攻擊急劇上升。

CVE-2019-11510：Pulse 虛擬專用網(wǎng)漏洞

漏洞CVE-2019-11510今年被許多攻擊者使用和濫用。Pulse Secure是一種虛擬專用網(wǎng)連接服務(wù)，隨著遠程辦公的人的增加，此類虛擬專用網(wǎng)軟件的使用也急劇增加。微軟4月份的一篇博文指出：“REvil(也稱為Sodinokibi)因訪問并出售虛擬專用網(wǎng)服務(wù)商及其客戶的賬戶和敏感信息而臭名昭著。在新冠疫情期間，此類活動更加猖獗。”

該漏洞曾被用于竊取和公開900多臺虛擬專用網(wǎng)企業(yè)服務(wù)器的密碼。今年6月，勒索軟件Black Kingdom還利用Pulse 虛擬專用網(wǎng)的這個漏洞發(fā)起攻擊，冒充谷歌Chrome的合法定時任務(wù)。

CVE 2012-0158：微軟Office通用控件

作為2020年勒索軟件攻擊最常用的四個漏洞之一，誕生于2012年的CVE 2012-0158屬于高齡漏洞，但依然是2019年最危險的漏洞之一。2020年3月，多家政府和醫(yī)療機構(gòu)成為攻擊目標(biāo)，攻擊者試圖通過發(fā)送名為 “20200323-sitrep-63-covid-19.doc”的富文本格式文件 (RTF)來利用這一漏洞。被受害者打開后，該文件會嘗試通過利用Microsoft在MSCOMCTL.OCX庫中的ListView/TreeView ActiveX控件中的已知緩沖區(qū)溢出漏洞(CVE-2012-0158)來投放EDA2勒索軟件。

CVE-2018-8453：Windows Win32k 組件

CVE-2018-8453是2018年發(fā)現(xiàn)的Windows win32k.sys組件中的漏洞。在巴西能源公司Light S.A遭受的勒索軟件攻擊中，攻擊者就利用了該公司W(wǎng)indows Win32k組件中的32位和64位漏洞來提權(quán)。

總結(jié)：勒索軟件全面防護，始于漏洞管理

真正令人感到不安的趨勢是，上述四大漏洞的數(shù)量和年齡。這表明大量企業(yè)的漏洞和補丁管理流程依然存在很大漏洞，企業(yè)需要盡快修補入口點并掃描補丁工具遺漏的高齡漏洞。

對于企業(yè)的安全主管們來說，不妨通過以下問題自查：您的端點會因新冠大流行而增加嗎?新的端點是否得到及時的修補、保護和監(jiān)控?您是否增加了遙測和匯報流程，以便更好地在問題發(fā)生之前就收到警報?

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文