2019年03月22日 | 2018年安全漏洞统计出炉 微软Office成头号攻击目标

随着网络钓鱼攻击（包括操纵Word与Excel等Officer文件附件的方法）不断增加，过去一年当中网络犯罪分子在恶意活动中对微软Office漏洞的大量利用自然不足为奇。

根据Recorded Future公司发布的一项最新研究显示，2018年全球范围内利用率最高的十大安全漏洞当中，有八项源自Office。在余下的两项中，一项为Adobe Flash漏洞（第二位），另一项为Android漏洞（排名第十）。在这份榜单中，名列第一的是一项Windows远程代码执行漏洞，其已经被列入多种漏洞利用工具包，包括Fallout、KaiXin、LCG Kit、Magnitude、RIG、Trickbot以及Underminer等等。

Recorded Future公司威胁情报分析师Alan Liska指出，这种状况可谓是自然发展的结果。因为如今网络犯罪分子正逐步转向技术门槛更低、实施效率更高的网络钓鱼攻击，而对Web漏洞利用工具包的使用必然引发这样的整体趋势。

Liska表示，不再将目光投向浏览器漏洞利用的主要原因，在于目前开发人员已经能够更好地保护并实施浏览器软件更新。在此次榜单的前十位漏洞当中，仅有三项与浏览器相关，且主要涉及IE浏览器的陈旧版本。“这意味着仍有不少陈旧系统在运行着未经修复的网络浏览器。”

与此同时，根据此项研究对代码库、暗网论坛／帖子以及其它相关元数据的分析，2018年年内仅新增5种新型漏洞利用工具包——这一数字远低于2017年的10种以及2016年的62种。在此之中，又只有Fallout与LCG Kit这两种新型漏洞利用工具包进入2018年安全榜单的前十位置。

虽然Recorded Future公司并没有将民族国家集团单独列入此份榜单，但他们在研究当中发现如今的网络犯罪分子与民族国家支持的黑客正在颠覆老派攻击者的思路：他们更倾向于使用被盗的用户凭证，包括远程桌面协议（简称RDP）以及VPN登录或凭证填充攻击，而不再像过去那样想办法向受害者传递恶意软件。

Liska指出，“我认为漏洞利用工具包在数量上的减少已经体现出这样的趋势。当然，还有其它一些传统的安全漏洞部署入口点逐渐在黑客群体中失去吸引力。例如，很多攻击者现在专注于利用工具以暴力破解的方式完成入侵，而不再硬性依赖于漏洞利用工具包或者其它能够窃取登录凭证的方法。”

ThreatStop公司网络安全研究主管John Bambenek指出，“我们在威胁共享方面投入了大量资金。但如果没有指标可供分享，那么除非人们愿意直接分享凭证，否则也只能依靠提高密码强度来尽可能巩固安全水平了。”

此外，包括零日漏洞在内的多种漏洞利用工具如今成为民族国家的主要关注方向，这实际上标志着零日漏洞从网络犯罪分子向国家机器的转型。他解释称，“零日漏洞是一种非常宝贵的资源。如果大家能够将其出售给知识产权代理商并获得数百万美元的巨额利润时，为什么还要将其添加至漏洞利用工具包？无论如何，犯罪分子都迎来了大笔捞钱的好日子……而且只需要邮件列表与邮件服务器就能实现。”

Android基本告别前十榜单

在此次Recorded Future前十榜单当中，唯一的移动设备漏洞来自部分Android设备内核中存在的一项2015年本地权限提升高危漏洞。根据Liska的介绍，这项漏洞是第一次进入榜单，而评判标准与微软Office基本相同：Android代表着一套具有广泛攻击面的高人气平台。当然，即使是在这同样的开源移动系统之内，一部分Android设备实际上也要比其它同类设备更加安全。

Liska指出，“我们在Android平台上看到的大部分漏洞利用行为，都与应用有关——例如发布恶意应用或者操纵某些应用等等。不过移动设备只是当前攻击面中的一小部分。Sophos公司最近的一项研究发现，有10％的网络攻击活动出现在移动设备之上，有37％于服务器中被检测到，而另有37％现身于网络层面。Sophos公司首席研究科学家Chester Wisniewski表示，“我们并没有看到大量移动入侵行为的出现。事实上，大部分重大安全事件都跟手机设备没什么关联。”

与此同时，微软IE浏览器中的“Double Kill”漏洞工具包成功占据本轮榜单的头把交椅——由于能够在多个版本的IE与Windows系统上起效，因此其获得了极高的“人气”。根据Liska的介绍，“其起效方式在于首先发送一个探针——一般由JavaScript编写而成——并在浏览器上查询信息，以便尽可能多地搜罗与受害者设备上所安装的操作系统、浏览器版本以及补丁安装情况相关的结果。在此之后，即可根据当前安全状况选择后续攻击方法。整个使用过程非常简单。”

去年利用率次高的安全漏洞为CVE－2018－4878，这是一项Adobe Flash Player当中存在的释放后使用型缺陷。目前被囊括于多种漏洞利用工具包当中——包括Fallout与前Nuclear工具包。Fallout还一直在传播GandCrab勒索软件，这种勒索软件正被越来越多用于实施指向大型组织的针对性攻击，并为攻击带来了相当可观的收益。

Adobe公司计划在2020年彻底放弃具有“优良历史传统”的漏洞集散地Flash Player——此前没完没了的更新仍然无法应对攻击者们的狂轰滥炸。具体而言，Flash一直保持着漏洞被最快利用这一毫不光彩的纪录。根据Liska的介绍，每次Adobe公司公开发布针对Flash漏洞的修复程序，平均两天之后该漏洞就会被攻击者用于入侵尚未及时更新的受害者。

此次，Recorded Future的榜单上还出现了一种远程访问木马，其指向的是漏洞CVE－2017－8570——一项Office远程执行漏洞。这种木马出自Sisfader RAT之手。

如何保障安全？

此次十大漏洞利用榜单旨在帮助组织与个人用户优先安排补丁更新次序，而Recorded Future公司给出的通行性安全建议仍然还是老一套：尽量不使用网站上的Flash资源、利用浏览器广告拦截器阻挡恶意广告、频繁执行备份，并通过电子邮件培训用户建立对网络钓鱼以及其它诈骗行为的认知。此外，该公司还建议大家使用谷歌Chrome浏览器，其被广泛认定为安全性最高的浏览器选项之一。