就應(yīng)用程序和操作系統(tǒng)的新漏洞和漏洞利用技術(shù)而言，2024年第二季度可謂是多事之秋。通過(guò)易受攻擊的驅(qū)動(dòng)程序進(jìn)行攻擊已成為操作系統(tǒng)中權(quán)限提升的一種通用手段。這種攻擊值得注意的地方在于，漏洞不一定是最新的，因?yàn)楣粽咦约簳?huì)向系統(tǒng)提供未打補(bǔ)丁的驅(qū)動(dòng)程序。本報(bào)告考慮了網(wǎng)絡(luò)犯罪分子可用于攻擊目標(biāo)系統(tǒng)的公開(kāi)研究的統(tǒng)計(jì)數(shù)據(jù)，并提供了漏洞的統(tǒng)計(jì)快照。

已注冊(cè)漏洞的統(tǒng)計(jì)數(shù)據(jù)

在本節(jié)中，卡巴斯基根據(jù)cve.org門(mén)戶(hù)的數(shù)據(jù)查看了已注冊(cè)漏洞的統(tǒng)計(jì)信息。

數(shù)據(jù)顯示，在2024年第二季度，注冊(cè)的漏洞數(shù)量超過(guò)了去年同期的數(shù)字，并且可能會(huì)進(jìn)一步增長(zhǎng)，因?yàn)橐恍┞┒丛谧?cè)后不會(huì)立即添加到 CVE 列表中。這一趨勢(shì)與第一季度報(bào)告中指出的已注冊(cè)漏洞數(shù)量的總體上升是一致的。

【2023年第二季度和2024年第二季度已注冊(cè)漏洞總數(shù)和關(guān)鍵漏洞數(shù)量】

比較2019-2024年期間的數(shù)據(jù)可以看到，在2024年上半年，注冊(cè)的漏洞總數(shù)略低于2023年全年的一半。但值得注意的是，注冊(cè)的漏洞數(shù)量呈逐季上升趨勢(shì)，因此我們不能肯定地說(shuō)到今年年底它不會(huì)超過(guò)2023年的數(shù)字。

【2019-2024年漏洞數(shù)量、關(guān)鍵漏洞和存在漏洞利用的漏洞比例】

上述圖表還顯示了在所有已注冊(cè)的漏洞中，關(guān)鍵漏洞和有公開(kāi)描述或概念證明的漏洞所占的份額。后者在第二季度所占份額的下降表明，已注冊(cè)漏洞的數(shù)量增長(zhǎng)速度快于已發(fā)布的漏洞利用數(shù)量。

與2023年相比，關(guān)鍵漏洞所占比例也略有下降。但構(gòu)成最大風(fēng)險(xiǎn)的仍然是關(guān)鍵漏洞。為了了解組織可能面臨的風(fēng)險(xiǎn)，以及這些風(fēng)險(xiǎn)如何隨時(shí)間的推移而變化，讓我們來(lái)看看構(gòu)成2023年第二季度和2024年第二季度注冊(cè)的關(guān)鍵CVE總數(shù)的漏洞類(lèi)型。

【2023年第二季度注冊(cè)的關(guān)鍵CVE漏洞類(lèi)型】

【2024年第二季度注冊(cè)的關(guān)鍵CVE漏洞類(lèi)型】

如上所見(jiàn)，即使有CVE條目，大多數(shù)問(wèn)題仍未分類(lèi)，需要進(jìn)一步調(diào)查以獲取詳細(xì)信息，這可能會(huì)嚴(yán)重阻礙系統(tǒng)防護(hù)工作，以遏制這些潛在漏洞。除了未分類(lèi)的關(guān)鍵漏洞外，2023年第二季度還包括以下常見(jiàn)問(wèn)題：

• CWE-89：SQL命令中使用的特殊元素的不當(dāng)中和（SQL注入）；
• CWE-78：操作系統(tǒng)命令中使用的特殊元素的不當(dāng)中和（操作系統(tǒng)命令注入）；
• CWE-74：下游組件（注入）在輸出中對(duì)特殊元素的不當(dāng)中和；

2024年第二季度也出現(xiàn)了一些值得注意的漏洞類(lèi)型：

• CWE-434：無(wú)限制上傳危險(xiǎn)類(lèi)型的文件；
• CWE-89：SQL命令中使用的特殊元素的不當(dāng)中和（SQL注入）；
• CWE-22：對(duì)受限目錄的路徑名進(jìn)行不當(dāng)限制（路徑遍歷）；

上述兩個(gè)最常見(jiàn)類(lèi)型的列表都表明，絕大多數(shù)分類(lèi)的關(guān)鍵漏洞都已注冊(cè)為Web應(yīng)用程序。根據(jù)開(kāi)源信息，Web應(yīng)用程序中的漏洞確實(shí)是最關(guān)鍵的，因?yàn)閃eb應(yīng)用程序包括可以訪問(wèn)敏感數(shù)據(jù)的軟件，例如文件共享系統(tǒng)、控制VPN訪問(wèn)的控制臺(tái)以及云和物聯(lián)網(wǎng)系統(tǒng)。

漏洞利用統(tǒng)計(jì)數(shù)據(jù)

本節(jié)介紹了從開(kāi)源和卡巴斯基內(nèi)部遙測(cè)獲取的2024年第二季度的漏洞利用統(tǒng)計(jì)數(shù)據(jù)。

漏洞利用彌足珍貴，其保質(zhì)期可以以天為單位，甚至以小時(shí)為單位計(jì)算。另一方面，創(chuàng)建它們是一個(gè)漫長(zhǎng)的過(guò)程，根據(jù)漏洞利用的類(lèi)型而有所不同。以下是Windows和Linux平臺(tái)用戶(hù)受到漏洞攻擊的統(tǒng)計(jì)數(shù)據(jù)。

1.Windows和Linux漏洞利用

自今年年初以來(lái)，研究人員發(fā)現(xiàn)Windows漏洞觸發(fā)卡巴斯基解決方案的數(shù)量有所增加，這主要?dú)w咎于網(wǎng)絡(luò)釣魚(yú)電子郵件嘗試和試圖通過(guò)漏洞利用獲得對(duì)用戶(hù)系統(tǒng)的初步訪問(wèn)權(quán)限。其中最流行的是針對(duì)Microsoft Office套件中的漏洞利用：

• CVE-2018-0802——Equation Editor組件中的遠(yuǎn)程代碼執(zhí)行漏洞；
• CVE-2017-11882——Equation Editor中的另一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞；
• CVE-2017-0199——Microsoft Office和寫(xiě)字板中的遠(yuǎn)程代碼執(zhí)行漏洞；
• CVE-2021-40444——MSHTML組件中的遠(yuǎn)程代碼執(zhí)行漏洞；

【2023年第一季度至2024年第二季度遭遇漏洞利用的Windows用戶(hù)數(shù)量動(dòng)態(tài)。2023年第一季度遭遇漏洞利用的用戶(hù)數(shù)為100%】

請(qǐng)注意，由于具有相似的檢測(cè)模式，歸類(lèi)為CVE-2018-0802和CVE-2021-40444的漏洞可能包括CVE-2022-30190（Microsoft支持診斷工具中的遠(yuǎn)程代碼執(zhí)行）和CVE-2023-36884（Windows Search組件中的遠(yuǎn)程代碼執(zhí)行）漏洞，這些漏洞也仍然是實(shí)時(shí)威脅。

隨著Linux在企業(yè)領(lǐng)域的應(yīng)用普及，它在漏洞利用方面也顯示出增長(zhǎng)趨勢(shì)；然而，與Windows相比，Linux漏洞主要針對(duì)內(nèi)核：

• CVE-2022-0847——Linux內(nèi)核中的權(quán)限提升漏洞；
• CVE-2023-2640——Ubuntu內(nèi)核中的權(quán)限提升漏洞；
• CVE-2021-4034——用于以其他用戶(hù)身份執(zhí)行命令的pkexec實(shí)用程序中的權(quán)限提升漏洞；

【2023年第一季度至2024年第二季度遭遇漏洞利用的Linux用戶(hù)數(shù)量動(dòng)態(tài)。2023年第一季度遭遇漏洞利用的用戶(hù)數(shù)為100%】

大多數(shù)針對(duì)Linux的漏洞都與權(quán)限提升有關(guān)，可用于在系統(tǒng)中獲取持久性和運(yùn)行惡意代碼。這可能是因?yàn)楣粽呓?jīng)常以需要高權(quán)限才能獲得控制權(quán)的Linux服務(wù)器為目標(biāo)。

2.最常見(jiàn)的漏洞利用

在第二季度中，存在公開(kāi)漏洞利用的關(guān)鍵漏洞的分布發(fā)生了變化。請(qǐng)參閱下面的圖表，了解第一季度和第二季度的可視化比較。

【按平臺(tái)劃分的關(guān)鍵漏洞利用分布（2024年第一季度）】

【按平臺(tái)劃分的關(guān)鍵漏洞利用分布（2024年第二季度）】

與第一季度相比，第二季度操作系統(tǒng)中漏洞利用的份額有所增加。這是因?yàn)檠芯咳藛T傾向于在夏季網(wǎng)絡(luò)安全會(huì)議之前發(fā)布概念驗(yàn)證代碼（PoC）。因此，在第二季度發(fā)布了大量的操作系統(tǒng)漏洞。此外，在報(bào)告期內(nèi)，Microsoft Sharepoint中漏洞利用的份額有所增加，幾乎沒(méi)有針對(duì)瀏覽器的新漏洞利用。

APT攻擊中的漏洞利用

卡巴斯基研究人員還分析了高級(jí)持續(xù)性威脅（APT）中最常用的漏洞類(lèi)型。以下排名基于卡巴斯基的遙測(cè)、研究和開(kāi)源數(shù)據(jù)。

【2024年第二季度APT攻擊中最常利用的10大漏洞】

盡管APT攻擊中常見(jiàn)的漏洞列表與第一季度相比截然不同，但攻擊者最常利用相同類(lèi)型的軟件/硬件解決方案的漏洞來(lái)訪問(wèn)組織的內(nèi)部網(wǎng)絡(luò)：遠(yuǎn)程訪問(wèn)服務(wù)、訪問(wèn)控制機(jī)制和辦公應(yīng)用程序。請(qǐng)注意，該排名中2024年的漏洞在發(fā)現(xiàn)時(shí)就已經(jīng)被利用，也就是說(shuō)，它們是零日漏洞。

利用易受攻擊的驅(qū)動(dòng)程序攻擊操作系統(tǒng)

本節(jié)介紹了使用易受攻擊的驅(qū)動(dòng)程序攻擊Windows操作系統(tǒng)及其軟件的公共漏洞利用。根據(jù)公開(kāi)資料和卡巴斯基自己的數(shù)據(jù)顯示，有數(shù)百個(gè)這樣的易受攻擊的驅(qū)動(dòng)程序，并且新的驅(qū)動(dòng)程序仍在不斷涌現(xiàn)。

威脅行為者使用易受攻擊的驅(qū)動(dòng)程序作為“自帶易受攻擊的驅(qū)動(dòng)程序 （BYOVD） 技術(shù)”的一部分。這涉及在目標(biāo)系統(tǒng)上安裝未打補(bǔ)丁的驅(qū)動(dòng)程序，以確保該漏洞被用于在操作系統(tǒng)中進(jìn)行權(quán)限提升或其他網(wǎng)絡(luò)犯罪活動(dòng)。這種方法最初被游戲作弊的創(chuàng)造者使用，但后來(lái)被網(wǎng)絡(luò)犯罪分子采用。

整體來(lái)看，自2023年以來(lái)，利用易受攻擊的驅(qū)動(dòng)程序攻擊Windows以提升權(quán)限和繞過(guò)安全機(jī)制的趨勢(shì)有所上升。

BYOVD 攻擊工具

易受攻擊的驅(qū)動(dòng)程序本身對(duì)于操作系統(tǒng)安全性來(lái)說(shuō)就是一個(gè)足夠嚴(yán)重的問(wèn)題，但真正的破壞性活動(dòng)需要客戶(hù)端應(yīng)用程序向驅(qū)動(dòng)程序傳遞惡意指令。

自2021年以來(lái)已經(jīng)陸續(xù)出現(xiàn)了24種在線工具，用于在權(quán)限提升和對(duì)特權(quán)進(jìn)程的攻擊中控制易受攻擊的驅(qū)動(dòng)程序，例如內(nèi)置和第三方安全解決方案。具體如下所示：

【2021-2024年在線發(fā)布的用于控制脆弱驅(qū)動(dòng)程序的工具數(shù)量】

正如我們所看到的，2023年是BYOVD攻擊工具最豐富的一年。2024年上半年發(fā)布的工具數(shù)量比2021年和2022年的總和還要多。卡巴斯基進(jìn)一步評(píng)估了在實(shí)際攻擊中使用此類(lèi)軟件的趨勢(shì)，具體所下所示：

【2024年第一季度和第二季度，在卡巴斯基產(chǎn)品上遭受使用易受攻擊的驅(qū)動(dòng)程序攻擊的用戶(hù)數(shù)量動(dòng)態(tài)；2024年第一季度的數(shù)據(jù)為100%】

隨著B(niǎo)YOVD攻擊數(shù)量的增加，利用易受攻擊驅(qū)動(dòng)程序的工具開(kāi)發(fā)人員開(kāi)始出售它們，因此我們看到使用易受攻擊的驅(qū)動(dòng)程序進(jìn)行攻擊的已發(fā)布工具數(shù)量有所下降。但是，如前所述，它們?nèi)岳^續(xù)公開(kāi)提供。

有趣的漏洞

本節(jié)提供有關(guān)2024年第二季度注冊(cè)的相關(guān)漏洞的信息。

1.CVE-2024-26169（WerKernel.sys）

Werkernel.sys是Windows錯(cuò)誤報(bào)告（WER）子系統(tǒng)的驅(qū)動(dòng)程序，CVE-2024-26169是在調(diào)查與勒索軟件攻擊相關(guān)的事件時(shí)發(fā)現(xiàn)的零日漏洞。這是由werkernel.sys使用null安全描述符引起的，該描述符處理訪問(wèn)級(jí)別。這允許任何用戶(hù)與驅(qū)動(dòng)程序交互，例如，重寫(xiě)注冊(cè)表項(xiàng)HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe的值。此鍵存儲(chǔ)有關(guān)負(fù)責(zé)對(duì)Windows中的應(yīng)用程序進(jìn)行錯(cuò)誤處理的應(yīng)用程序的數(shù)據(jù)。

對(duì)利用算法的檢查揭示了以下事件：

【漏洞利用生成的事件列表】

該漏洞利用試圖執(zhí)行準(zhǔn)備操作以創(chuàng)建特殊的注冊(cè)表鍵，這些注冊(cè)表鍵允許使用SYSTEM用戶(hù)權(quán)限重新啟動(dòng)注冊(cè)表中指定的可執(zhí)行文件。該漏洞利用本身基于競(jìng)態(tài)條件漏洞，因此其成功與否取決于啟動(dòng)它的系統(tǒng)。

2.CVE-2024-26229（csc.sys）

Csc.sys是Windows中的另一個(gè)與Windows客戶(hù)端緩存（CSC）服務(wù)有關(guān)的驅(qū)動(dòng)程序。CVE-2024-26229是一個(gè)權(quán)限提升漏洞，它清楚地說(shuō)明了操作系統(tǒng)驅(qū)動(dòng)程序中代碼不安全的問(wèn)題。在Microsoft門(mén)戶(hù)網(wǎng)站上發(fā)布有關(guān)此漏洞的信息幾天后，一個(gè)PoC就發(fā)布了并在網(wǎng)上傳播，并針對(duì)各種格式和框架進(jìn)行了重寫(xiě)以進(jìn)行滲透測(cè)試。

該漏洞利用非常易于使用，包括Write原語(yǔ)（寫(xiě)入任意內(nèi)核位置）和內(nèi)核對(duì)象地址泄漏原語(yǔ)的“經(jīng)典”組合。

該漏洞是使用IOCTL觸發(fā)的，這意味著與易受攻擊的驅(qū)動(dòng)程序的通信方法在許多方面類(lèi)似于BYOVD攻擊方法。

該漏洞利用的主要算法旨在修改用戶(hù)運(yùn)行進(jìn)程的PRIMARY_TOKEN結(jié)構(gòu)。這是通過(guò)易受攻擊的驅(qū)動(dòng)程序的能力實(shí)現(xiàn)的。

3.CVE-2024-4577（PHP CGI）

CVE-2024-4577源于繞過(guò)傳遞給Web應(yīng)用程序的參數(shù)驗(yàn)證。從本質(zhì)上講，該漏洞的存在是因?yàn)镃GI模式下的PHP可能無(wú)法完全驗(yàn)證某些語(yǔ)言頁(yè)面的危險(xiǎn)字符。網(wǎng)絡(luò)犯罪分子可以利用這一特性執(zhí)行標(biāo)準(zhǔn)的操作系統(tǒng)命令注入攻擊。

在使用以下語(yǔ)言設(shè)置的系統(tǒng)中會(huì)出現(xiàn)驗(yàn)證問(wèn)題：

• 繁體中文（代碼頁(yè)950）
• 簡(jiǎn)體中文（代碼頁(yè)936）
• 日語(yǔ)（代碼頁(yè)932）

請(qǐng)注意，CGI模式目前不是很流行，但可以在XAMPP Web服務(wù)器等產(chǎn)品中找到。

利用該漏洞的原因是，要繞過(guò)過(guò)濾器參數(shù)，只需在基于中文字符的書(shū)寫(xiě)系統(tǒng)中用等效的 Unicode 符號(hào)“-”（軟連字符）替換普通破折號(hào)就足夠了。因此，該查詢(xún)將使用可以運(yùn)行其他命令的數(shù)據(jù)得到補(bǔ)充。在進(jìn)程樹(shù)中，完整的漏洞利用如下所示：

【利用CVE-2024-4577期間受害者系統(tǒng)中的進(jìn)程樹(shù)】

結(jié)語(yǔ)和建議

就質(zhì)量和數(shù)量而言，漏洞及其有效利用每個(gè)季度都在繼續(xù)增長(zhǎng)，威脅行為者正在尋找讓已修補(bǔ)漏洞復(fù)活的方法。利用這種漏洞的主要技巧之一是BYOVD技術(shù)，即攻擊者自己將易受攻擊的驅(qū)動(dòng)程序加載到系統(tǒng)中。公共領(lǐng)域中存在的各種示例和工具包允許網(wǎng)絡(luò)犯罪分子快速調(diào)整易受攻擊的驅(qū)動(dòng)程序，以滿(mǎn)足他們的需求。展望未來(lái)，這種技術(shù)將在攻擊中得到更積極、廣泛地應(yīng)用。

為了保障安全，組織可以遵循如下實(shí)踐，以及時(shí)應(yīng)對(duì)不斷變化的威脅形勢(shì)：

• 徹底了解和監(jiān)控您的基礎(chǔ)設(shè)施，尤其要注意外圍和邊緣；了解自己的基礎(chǔ)設(shè)施對(duì)于確保其安全至關(guān)重要。
• 引入有效的補(bǔ)丁管理，以及時(shí)檢測(cè)和消除基礎(chǔ)設(shè)施漏洞，包括攻擊者用于潛入網(wǎng)絡(luò)的易受攻擊的驅(qū)動(dòng)程序。
• 使用全面的安全解決方案，為工作站提供強(qiáng)大的保護(hù)并盡早檢測(cè)和預(yù)防任何復(fù)雜的攻擊。收集來(lái)自全球各地的實(shí)時(shí)網(wǎng)絡(luò)攻擊數(shù)據(jù)，并為員工提供基本的數(shù)字素養(yǎng)技能。

原文鏈接：https://securelist.com/vulnerability-exploit-report-q2-2024/113455/