therecord網(wǎng)站消息，研究人員發(fā)現(xiàn)，聯(lián)邦政府維護(hù)的已知被利用漏洞（KEV）目錄對(duì)聯(lián)邦政府內(nèi)外的組織機(jī)構(gòu)產(chǎn)生了實(shí)質(zhì)性的影響。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的KEV目錄已經(jīng)運(yùn)行了近三年，早已迅速成為全球黑客積極利用的軟件和硬件漏洞的首選存儲(chǔ)庫(kù)。對(duì)此，網(wǎng)絡(luò)安全掃描公司Bitsight的專家提出了一個(gè)問(wèn)題："與不在KEV目錄中的漏洞相比，企業(yè)修復(fù)KEV的速度是否更快？“

答案明確是“是”。研究人員的數(shù)據(jù)顯示，修補(bǔ)目錄中列出的漏洞所需的時(shí)間中位數(shù)是非KEV漏洞的3.5倍。換句話說(shuō)，KEV所列漏洞的修復(fù)時(shí)間中位數(shù)為174天，而非KEV所列漏洞的修復(fù)時(shí)間為621天。這些數(shù)據(jù)來(lái)自Bitsight對(duì)100多萬(wàn)個(gè)實(shí)體（包括公司、學(xué)校、地方政府等）進(jìn)行漏洞掃描的結(jié)果。

Bitsight表示，如果計(jì)算相對(duì)平均降低值，勒索軟件KEV的修復(fù)速度（平均）是未知用于勒索軟件的KEV的2.5倍。

該公司證實(shí)，KEV列表通過(guò)幫助公司和地方政府從大量漏洞中篩選出真正重要的漏洞產(chǎn)生了實(shí)際效果。2023 年，在Bitsight觀察到的所有組織中，有35%的組織處理過(guò)KEV，其中絕大多數(shù)的組織有一個(gè)以上的KEV。

漏洞修復(fù)時(shí)間

每個(gè)添加到KEV列表中的漏洞都附帶一個(gè)截止日期，該日期根據(jù)漏洞的嚴(yán)重程度和被定位的緊急性而有所不同。這個(gè)截止日期正式適用于聯(lián)邦機(jī)構(gòu)，但對(duì)于美國(guó)政府之外的組織，它可以作為漏洞嚴(yán)重程度的一個(gè)指南。

Bitsight發(fā)現(xiàn)，受CISA約束性指令監(jiān)管的聯(lián)邦民事機(jī)構(gòu)比其他組織更有可能在截止日期前解決KEV漏洞，概率高出63%。而大約40%的組織（即那些不必遵守CISA規(guī)定的聯(lián)邦政府以外的組織）能夠在CISA的截止日期前解決漏洞。

報(bào)告指出，從KEV列表創(chuàng)建至今，給予漏洞修補(bǔ)的截止日期發(fā)生了巨大變化。當(dāng)該列表首次創(chuàng)建時(shí)，CISA通常給聯(lián)邦民事機(jī)構(gòu)一周、兩周或六個(gè)月的時(shí)間來(lái)修補(bǔ)漏洞。但到2022年春季，他們將截止日期調(diào)整為三周。直到最近幾個(gè)月，才重新規(guī)定了一周的期限。

為什么會(huì)發(fā)生這種變化？早期的這些漏洞通常在添加到KEV目錄時(shí)就已經(jīng)存在了，考慮到這種情況，CISA給組織時(shí)間解決問(wèn)題似乎是合理的。

截止日期似乎受漏洞是否被勒索軟件使用的影響：一周內(nèi)需要解決的漏洞比其他漏洞更容易被用于勒索軟件，因?yàn)檫@些漏洞非常緊急，如果黑客在組織機(jī)構(gòu)系統(tǒng)上利用它們，可能會(huì)造成重大損失。

科技公司是最快解決漏洞的公司之一，部分原因是因?yàn)樗鼈冊(cè)贐itsight列出的暴露漏洞最多的行業(yè)中名列榜首。在Bitsight追蹤的行業(yè)中，教育機(jī)構(gòu)和地方政府的情況最為糟糕，這兩個(gè)行業(yè)受KEV列表漏洞影響較大，修復(fù)時(shí)間較慢。

保險(xiǎn)公司、信用社和工程公司受KEV列表漏洞影響的程度相對(duì)較低，通常修復(fù)問(wèn)題的速度也較快。

列表上的新漏洞

上周，CISA在KEV列表中增加了兩個(gè)漏洞。其中被命名為CVE-2024-29988的漏洞是微軟在四月份發(fā)布的 “補(bǔ)丁星期二”（Patch Tuesday）中公布的，該漏洞會(huì)影響微軟產(chǎn)品中包含的云端反釣魚(yú)和反惡意軟件組件SmartScreen。

Immersive Labs的首席網(wǎng)絡(luò)安全工程師本·麥卡錫（Ben McCarthy）表示，SmartScreen是一個(gè)大型彈出窗口，會(huì)警告用戶有關(guān)運(yùn)行未知文件的情況，通常是網(wǎng)絡(luò)釣魚(yú)攻擊的終端，因?yàn)樗鼤?huì)嚇唬用戶，讓他們不敢繼續(xù)打開(kāi)文件。

他補(bǔ)充說(shuō)，該漏洞在使用文件下載作為獲取初始訪問(wèn)權(quán)限的攻擊技術(shù)的攻擊者中很流行，因?yàn)樗麄兿胝业嚼@過(guò)SmartScreen等安全功能的方法。

CISA指出，在攻擊過(guò)程中，該漏洞可以與CVE-2024-21412鏈接。一位發(fā)現(xiàn)CVE-2024-21412和CVE-2024-29988漏洞的零日計(jì)劃研究人員表示，通過(guò)直接手段（電子郵件和直接消息）進(jìn)行的社會(huì)工程攻擊需要某種用戶交互，這是這類漏洞典型的利用途徑。

CVE-2024-21412被用作DarkGate活動(dòng)的一部分，該活動(dòng)利用假冒蘋(píng)果iTunes、Notion、英偉達(dá)（NVIDIA）等公司的虛假軟件安裝程序。Microsoft Defender SmartScreen本應(yīng)為終端用戶提供額外保護(hù)，防止網(wǎng)絡(luò)釣魚(yú)和惡意網(wǎng)站，但由于這些漏洞繞過(guò)了安全功能，導(dǎo)致終端用戶感染惡意軟件。

上個(gè)月，《Bleeping Computer》報(bào)道稱，一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的黑客組織利用該漏洞攻擊了外匯交易論壇和股票交易Telegram頻道。