[[437045]]

到目前為止，事實(shí)證明，2021年對(duì)科技巨頭微軟來說算得上“安全重災(zāi)年”，許多漏洞影響了其多項(xiàng)領(lǐng)先服務(wù)，包括Active Directory、Exchange和Azure。微軟經(jīng)常淪為試圖利用已知漏洞和零日漏洞攻擊者的目標(biāo)，但自今年3月初以來，它所面臨的事件發(fā)生率和規(guī)模已經(jīng)讓這家科技巨頭亂了陣腳。

以下是2021年困擾微軟的重大安全事件時(shí)間表：

3月2日：Microsoft Exchange Server漏洞

第一個(gè)值得關(guān)注的安全事件發(fā)生在3月，當(dāng)時(shí)微軟宣布其Exchange Server中存在漏洞CVE-2021-26855。該漏洞可在一個(gè)或多個(gè)路由器的協(xié)議級(jí)別遠(yuǎn)程執(zhí)行和利用。雖然該攻擊復(fù)雜性被歸類為“低”，但微軟表示CVE-2021-26855正在被積極利用。

更重要的是，該漏洞可以在沒有任何用戶交互的情況下被利用，并導(dǎo)致設(shè)備完全喪失機(jī)密性和保護(hù)。根據(jù)微軟的說法，拒絕對(duì)443端口上Exchange服務(wù)器的不可信訪問，或者限制來自公司網(wǎng)絡(luò)外部的連接，以阻止攻擊的初始階段。但是，如果攻擊者已經(jīng)在基礎(chǔ)架構(gòu)中，或者如果攻擊者獲得具有管理員權(quán)限的用戶來運(yùn)行惡意文件，這將無濟(jì)于事。

隨后，Microsoft發(fā)布了安全補(bǔ)丁并建議緊急在面向外部的Exchange服務(wù)器上安裝更新。

6月8日：微軟修補(bǔ)了六個(gè)零日安全漏洞

微軟針對(duì)影響各種Windows服務(wù)的安全問題發(fā)布了補(bǔ)丁，其中六個(gè)嚴(yán)重漏洞已經(jīng)成為攻擊者的積極目標(biāo)。這6個(gè)零日漏洞是：

CVE-2021-33742：Windows HTML組件中的遠(yuǎn)程代碼執(zhí)行漏洞;

CVE-2021-31955：Windows內(nèi)核中的信息泄露漏洞;

CVE-2021-31956：Windows NTFS中的提權(quán)漏洞;

CVE-2021-33739：Microsoft桌面窗口管理器中的特權(quán)提升漏洞;

CVE-2021-31201：Microsoft Enhanced Cryptographic Provider中的特權(quán)提升漏洞;

CVE-2021-31199：Microsoft Enhanced Cryptographic Provider中的特權(quán)提升漏洞;

7月1日：Windows Print Spooler漏洞

安全研究人員在GitHub上公開了一個(gè)Windows Print Spooler遠(yuǎn)程代碼執(zhí)行0day漏洞(CVE-2021-34527)。需要注意的是，該漏洞與Microsoft 6月8日星期二補(bǔ)丁日中修復(fù)并于6月21日更新的一個(gè)EoP升級(jí)到RCE的漏洞(CVE-2021-1675)不是同一個(gè)漏洞。這兩個(gè)漏洞相似但不同，攻擊向量也不同。

微軟警告稱，該漏洞已出現(xiàn)在野利用。當(dāng) Windows Print Spooler 服務(wù)不正確地執(zhí)行特權(quán)文件操作時(shí)，存在遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權(quán)限運(yùn)行任意代碼、安裝程序、查看并更改或刪除數(shù)據(jù)、或創(chuàng)建具有完全用戶權(quán)限的新帳戶，但攻擊必須涉及調(diào)用 RpcAddPrinterDriverEx() 的經(jīng)過身份驗(yàn)證的用戶。

專家建議的緩解措施包括立即安裝安全更新，同時(shí)確保以下注冊(cè)表設(shè)置設(shè)置為“0”(零)或未定義：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

UpdatePromptSettings = 0 (DWORD) or not defined (default setting)

8月：研究人員披露Microsoft Exchange Autodiscover漏洞

Autodiscover是Microsoft Exchange用來自動(dòng)配置outlook這類Exchange客戶端應(yīng)用的工具。8月份，安全供應(yīng)商Guardicore的研究人員發(fā)現(xiàn)，Microsoft Exchange Autodiscover存在一個(gè)設(shè)計(jì)缺陷，導(dǎo)致該協(xié)議將Web請(qǐng)求“泄漏”到用戶域外的Autodiscover域，但仍在同一頂級(jí)域(TLD)中，例如 Autodiscover.com。

事實(shí)上，Autodiscover漏洞并不是一個(gè)新問題。早在2017年，Shape Security就首次披露了該核心漏洞，并在當(dāng)年的Black Hat Asia上展示了調(diào)查結(jié)果。當(dāng)時(shí)，CVE-2016-9940 和 CVE-2017-2414 漏洞被發(fā)現(xiàn)僅影響移動(dòng)設(shè)備上的電子郵件客戶端。不過，Shape Security披露的漏洞已得到修補(bǔ)，而在2021年更多第三方應(yīng)用程序再次面臨相同的問題。

與此同時(shí)，微軟開始調(diào)查并采取措施減輕威脅以保護(hù)客戶。微軟高級(jí)主管Jeff Jones表示，“我們致力于協(xié)調(diào)漏洞披露，這是一種行業(yè)標(biāo)準(zhǔn)的協(xié)作方法，可在問題公開之前降低客戶面臨不必要的風(fēng)險(xiǎn)。不幸的是，這個(gè)問題在研究人員向媒體披露之前并沒有報(bào)告給我們，所以我們今天才知道這些說法。而且，我的報(bào)告也清楚地引用了2017 年提出這個(gè)問題的研究。這不是零日漏洞，它已經(jīng)存在了至少1460天。微軟不可能不知道這個(gè)漏洞。”

8月26日：研究人員訪問了數(shù)千名Microsoft Azure客戶的數(shù)據(jù)

8 月 26 日，云安全供應(yīng)商Wiz宣布，在Microsoft Azure的托管數(shù)據(jù)庫(kù)服務(wù)Cosmos DB中發(fā)現(xiàn)了一個(gè)漏洞， Wiz將其命名為“Chaos DB”，攻擊者可以利用該漏洞獲得該服務(wù)上每個(gè)數(shù)據(jù)庫(kù)的讀/寫訪問權(quán)限。盡管Wiz在兩周前才發(fā)現(xiàn)了該漏洞，但該公司表示，該漏洞已經(jīng)在系統(tǒng)中存在“至少幾個(gè)月，甚至幾年”。

被告知存在漏洞后，微軟安全團(tuán)隊(duì)禁用了易受攻擊的Notebook功能，并通知超過30%的Cosmos DB客戶需要手動(dòng)輪換訪問密鑰以減少風(fēng)險(xiǎn)，這些是在Wiz探索漏洞一周左右內(nèi)啟用了Jupyter Notebook功能的客戶。此外，微軟還向Wiz支付了40,000美元的賞金。目前，微軟安全團(tuán)隊(duì)已經(jīng)修復(fù)了該漏洞。

9月7日：Microsoft MSHTML漏洞

9月7日，微軟發(fā)布安全通告披露了Microsoft MSHTML遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-40444)，攻擊者可通過制作惡意的ActiveX控件供托管瀏覽器呈現(xiàn)引擎的Microsoft Office文檔使用，成功誘導(dǎo)用戶打開惡意文檔后，可在目標(biāo)系統(tǒng)上以該用戶權(quán)限執(zhí)行任意代碼。微軟在通告中指出已檢測(cè)到該漏洞被在野利用，請(qǐng)相關(guān)用戶采取措施進(jìn)行防護(hù)。

據(jù)悉，MSHTML(又稱為Trident)是微軟旗下的Internet Explorer 瀏覽器引擎，也用于 Office 應(yīng)用程序，以在 Word、Excel 或 PowerPoint 文檔中呈現(xiàn) Web 托管的內(nèi)容。AcitveX控件是微軟COM架構(gòu)下的產(chǎn)物，在Windows的Office套件、IE瀏覽器中有廣泛的應(yīng)用，利用ActiveX控件即可與MSHTML組件進(jìn)行交互。

微軟于9月14日發(fā)布了安全更新以解決該漏洞，并敦促客戶及時(shí)更新反惡意軟件產(chǎn)品。

9月14日：微軟披露了幾個(gè)未被利用的漏洞

在發(fā)布安全更新以緩解Trident漏洞的同一天，微軟發(fā)布了有關(guān)其服務(wù)中大量未利用(在披露時(shí))漏洞的詳細(xì)信息。

CVE-2021-36968：Windows DNS中的提權(quán)漏洞。攻擊者通過本地(例如鍵盤、控制臺(tái))或遠(yuǎn)程(例如SSH)訪問目標(biāo)系統(tǒng)來利用該漏洞;或者攻擊者依賴他人的用戶交互來執(zhí)行利用漏洞所需的操作(例如，誘騙合法用戶打開惡意文檔)。該漏洞攻擊復(fù)雜度和所需權(quán)限低，無需用戶交互即可本地利用。

CVE-2021-38647：影響Azure開放管理基礎(chǔ)結(jié)構(gòu)(OMI)的遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞的攻擊復(fù)雜性較低，無需用戶交互，并且可能導(dǎo)致完全拒絕訪問受影響組件中的資源。8月11日在GitHub上發(fā)布了修復(fù)程序，以允許用戶在發(fā)布完整的CVE詳細(xì)信息之前降低風(fēng)險(xiǎn)。

CVE-2021-36965：影響Windows WLAN AutoConfig服務(wù)的漏洞。該漏洞綁定到網(wǎng)絡(luò)堆棧，但攻擊僅限于協(xié)議級(jí)別的邏輯相鄰?fù)負(fù)?。這意味著攻擊必須從相同的共享物理或邏輯網(wǎng)絡(luò)發(fā)起，或者從安全或其他受限的管理域內(nèi)發(fā)起。該漏洞利用僅限于由同一安全機(jī)構(gòu)管理的資源。

CVE-2021-36952：該遠(yuǎn)程代碼執(zhí)行Visual Studio可能導(dǎo)致攻擊者完全拒絕訪問受影響組件中的資源。

CVE-2021-38667：影響Windows Print Spooler的新提權(quán)漏洞。攻擊者被授權(quán)(即需要)提供基本用戶功能的特權(quán)，這些功能通常只能影響用戶擁有的設(shè)置和文件?；蛘?，具有低權(quán)限的攻擊者可能有能力僅對(duì)非敏感資源造成影響。CVE-2021-36975和CVE-2021-38639：微軟也共享了兩個(gè)影響Win32k的新特權(quán)提升漏洞。兩者都有可能被攻擊者反復(fù)成功利用。

9月16日：攻擊者利用ManageEngine ADSelfService Plus中的漏洞

來自FBI、美國(guó)海岸警衛(wèi)隊(duì)網(wǎng)絡(luò)司令部(CGCYBER)和CISA的聯(lián)合咨詢警告稱，Zoho ManageEngine ADSelfService Plus平臺(tái)存在嚴(yán)重的身份驗(yàn)證繞過漏洞，該漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)，從而為肆無忌憚的攻擊者打開公司大門，攻擊者可以自由控制用戶的Active Directory(AD)和云帳戶。

Zoho ManageEngine ADSelfService Plus是一個(gè)針對(duì)AD和云應(yīng)用程序的自助式密碼管理和單點(diǎn)登錄(SSO)平臺(tái)，這意味著任何能夠控制該平臺(tái)的網(wǎng)絡(luò)攻擊者都會(huì)在兩個(gè)關(guān)鍵任務(wù)應(yīng)用程序(和他們的敏感數(shù)據(jù))中擁有多個(gè)軸心點(diǎn)。換句話說，它是一個(gè)功能強(qiáng)大的、高度特權(quán)的應(yīng)用程序，無論是對(duì)用戶還是攻擊者都可以作為一個(gè)進(jìn)入企業(yè)內(nèi)部各個(gè)領(lǐng)域的便捷入口點(diǎn)。

9月27日：APT29以Active Directory聯(lián)合身份驗(yàn)證服務(wù)為目標(biāo)

安全研究人員標(biāo)記了一個(gè)與俄羅斯政府有聯(lián)系的網(wǎng)絡(luò)間諜組織，該組織部署了一個(gè)新的后門，旨在利用Active Directory聯(lián)合服務(wù)(AD FS)并竊取配置數(shù)據(jù)庫(kù)和安全令牌證書。微軟將惡意軟件程序FoggyWeb歸咎于NOBELIUM(也稱為 APT29 或 Cozy Bear)組織——被認(rèn)為是 SUNBURST后門的幕后黑手。微軟表示已通知所有受影響客戶，并建議用戶：

審核本地和云基礎(chǔ)架構(gòu)，包括配置、每個(gè)用戶和每個(gè)應(yīng)用程序的設(shè)置、轉(zhuǎn)發(fā)規(guī)則以及參與者可能為維持訪問而進(jìn)行的其他更改;

刪除用戶和應(yīng)用程序訪問權(quán)限，審查每個(gè)用戶/應(yīng)用程序的配置，并按照記錄在案的行業(yè)最佳實(shí)踐重新頒發(fā)新的、強(qiáng)大的憑據(jù);

使用硬件安全模塊(HSM)以防止FoggyWeb泄露機(jī)密數(shù)據(jù);

10月：發(fā)布并修復(fù)4個(gè)零日漏洞

10月12日，微軟發(fā)布了4個(gè)0day漏洞，它們分別為：

CVE-2021-40449：Win32k權(quán)限提升漏洞。調(diào)查顯示，有黑客組織在利用該0day漏洞進(jìn)行針對(duì)IT公司、軍事/國(guó)防承包商和外交實(shí)體的廣泛間諜活動(dòng)。攻擊者通過安裝遠(yuǎn)程訪問木馬，利用該漏洞獲取更高的權(quán)限。

CVE-2021-40469：Windows DNS服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞。在域控制器上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的攻擊者獲取域管理員權(quán)限的后果很嚴(yán)重，不過幸好，該漏洞很難武器化。

CVE-2021-41335：Windows內(nèi)核權(quán)限提升漏洞。該漏洞已公開披露在POC(概念驗(yàn)證)中，成功利用可允許攻擊者在內(nèi)核模式下運(yùn)行任意代碼，這種漏洞通常是攻擊鏈中重要的一部分。

CVE-2021-41338：Windows AppContainer防火墻規(guī)則安全功能繞過漏洞。AppContainer能夠阻止惡意代碼，防止來自第三方應(yīng)用的滲透。而該漏洞允許攻擊者繞過Windows AppContainer防火墻規(guī)則，且無需用戶交互即可加以利用。

微軟仍然是重點(diǎn)攻擊目標(biāo)

正如過去幾個(gè)月發(fā)生的事件所示，Microsoft 服務(wù)仍然是攻擊和漏洞利用的重要目標(biāo)，而其中的漏洞更是層出不窮。Forrester研究總監(jiān)兼首席分析師Merritt Maxim表示，“微軟應(yīng)用程序和系統(tǒng)仍然是黑客眼中的高價(jià)值目標(biāo)，因?yàn)樗鼈冊(cè)谌蚍秶鷥?nèi)廣泛部署。”

Maxim估計(jì)，大約80%的企業(yè)都以某種形式在全球范圍內(nèi)使用Microsoft Active Directory。鑒于Active Directory正充當(dāng)用戶身份驗(yàn)證憑據(jù)(以及其他功能)的存儲(chǔ)庫(kù)，而身份驗(yàn)證憑據(jù)對(duì)于黑客來說又是極具價(jià)值的數(shù)據(jù)源，因此黑客將繼續(xù)針對(duì)Microsoft系統(tǒng)實(shí)施攻擊。

攻擊者會(huì)根據(jù)價(jià)值選擇自己的目標(biāo)，系統(tǒng)或程序越流行，它對(duì)黑客的價(jià)值就越大。此外，由于微軟的復(fù)雜性和廣泛性，其暴露的攻擊面也異常大，其中大部分還是可以遠(yuǎn)程訪問的。流行度和大規(guī)模遠(yuǎn)程可訪問攻擊面的結(jié)合創(chuàng)造了一個(gè)完美的目標(biāo)。

微軟對(duì)安全事件的回應(yīng)

在反思微軟對(duì)安全事件的反應(yīng)和處理時(shí)，Netenrich 首席威脅獵手John Bambenek表示，該公司總體上做得很好。如果有需要改進(jìn)的地方的話，他們可能需要擁有最完善的產(chǎn)品安全流程。

Maxim對(duì)此表示贊同。他表示，“考慮到他們的系統(tǒng)無處不在，想要跟蹤每個(gè)可能的漏洞是一項(xiàng)不可能完成的任務(wù)。微軟需要繼續(xù)加大投資其原生產(chǎn)品的安全功能，并通過微軟威脅情報(bào)中心等機(jī)構(gòu)繼續(xù)提供對(duì)影響其平臺(tái)的新興惡意軟件的詳細(xì)分析和調(diào)查，以使企業(yè)了解情況并受到保護(hù)。”

不過，即便微軟迅速做出反應(yīng)并嘗試修補(bǔ)漏洞，但由于最近的幾個(gè)補(bǔ)丁不完整，還是導(dǎo)致了大規(guī)模的漏洞利用。Kolodenker解釋稱，“許多Microsoft高危漏洞都是合法的安全專業(yè)人員發(fā)現(xiàn)的，只有在最初的補(bǔ)丁發(fā)布后，攻擊者才開始猖獗利用。而在補(bǔ)丁廣泛采用之前發(fā)布概念公開證明(PoC)只會(huì)進(jìn)一步加劇這種情況。”

這就是為什么組織不能僅僅依賴服務(wù)提供商提供的安全更新和修復(fù)，他們自己也必須承擔(dān)一部分責(zé)任，及時(shí)應(yīng)用安全補(bǔ)丁和修復(fù)程序來減輕“以漏洞為中心”的漏洞利用和攻擊風(fēng)險(xiǎn)。

Jartelius提倡將預(yù)防性和反應(yīng)性方法相結(jié)合。他表示，“就像我們反復(fù)測(cè)試火警系統(tǒng)一樣，我們也應(yīng)該測(cè)試這些安全防御機(jī)制。使用內(nèi)部或外部團(tuán)隊(duì)來模擬真實(shí)攻擊，同時(shí)，練習(xí)觀察和響應(yīng)攻擊的公司，通常會(huì)在淪為現(xiàn)實(shí)世界的目標(biāo)之前及時(shí)發(fā)現(xiàn)自身存在的防御缺陷。”

本文翻譯自：https://www.csoonline.com/article/3635849/microsofts-very-bad-year-for-security-a-timeline.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。