人和管理成為主要入侵突破口

安全需要人、技術(shù)、管理的全方位保障，然而人與管理由于其復(fù)雜性，常常成為入侵突破口。在 19 年處理的安全事件中，弱口令事件占比 22%，釣魚(yú)郵件相關(guān)事件占比 7%，配置不當(dāng)事件占比 3%， 與人和管理相關(guān)的事件合計(jì)占總數(shù)的 1/3，安全管理
薄弱、員工安全意識(shí)不足的問(wèn)題最易遭到攻擊者的利用。
弱口令 蠕蟲(chóng)病毒 釣魚(yú)郵件 中間件
漏洞3% 配置不當(dāng) 僵尸網(wǎng)絡(luò) 3% 7% 永恒之藍(lán) 業(yè)務(wù)邏輯
5% 2% web
入侵 其他圖 2.26 入侵方式分布圖
除了應(yīng)急事件外，在眾多企業(yè)進(jìn)行的攻防演練中，也不乏攻擊方通過(guò)弱口令或釣魚(yú)郵件打開(kāi)缺口的 例子。大部分企業(yè)在公網(wǎng)上由于網(wǎng)絡(luò)資產(chǎn)數(shù)量龐大，部分運(yùn)維人員為了便于記憶和管理，采用了大量弱 口令或系統(tǒng)默認(rèn)密碼作為管理員口令，最終導(dǎo)致網(wǎng)站應(yīng)用權(quán)限的丟失，甚至服務(wù)器權(quán)限的淪陷。例如部 分企業(yè)為了方便員工使用，會(huì)將辦公協(xié)同系統(tǒng)（OA）放置在公網(wǎng)上，攻擊者常常利用人名作為用戶名字典， 弱口令（111111、123456 等）作為密碼字典進(jìn)行爆破，一旦攻擊者成功猜測(cè)出某員工賬號(hào)，企業(yè)的敏 感信息將可能被攻擊者掌握利用。
圖 2.27 暴力破解截圖
上圖為一次應(yīng)急響應(yīng)排查中對(duì)某企業(yè) OA系統(tǒng)弱口令探測(cè)掃描的結(jié)果 ,根據(jù)結(jié)果可以看出，
該系統(tǒng)中大量用戶使用了默認(rèn)口令或者是弱口令，攻擊者進(jìn)行簡(jiǎn)單的探測(cè)猜解，即可成功獲取到內(nèi) 部員工賬號(hào)口令，通過(guò)該系統(tǒng)可獲取單位大量敏感信息。
在大量案例中我們發(fā)現(xiàn)，大部分企業(yè)內(nèi)網(wǎng)環(huán)境中存在弱口令的情況更為普遍。由于企業(yè)內(nèi)網(wǎng)環(huán)境無(wú) 法從公網(wǎng)輕易訪問(wèn)，運(yùn)維人員在部署某些服務(wù)和應(yīng)用時(shí)，習(xí)慣采用簡(jiǎn)單密碼或者默認(rèn)口令作為管理員密 碼，一旦攻擊者突破外網(wǎng)邊界進(jìn)入企業(yè)內(nèi)網(wǎng)后，將會(huì)有大量弱口令應(yīng)用及系統(tǒng)遭受攻擊威脅。此外，由 于時(shí)間原因和管理疏忽，部分老舊系統(tǒng)停止使用后未能及時(shí)下線，其中可能存在的安全漏洞易被攻擊者 利用后導(dǎo)致主機(jī)權(quán)限丟失。
圖 2.28 某主機(jī)用戶配置
上圖為內(nèi)網(wǎng)中某系統(tǒng)管理平臺(tái)，該系統(tǒng)存在默認(rèn)管理員賬戶 root，且默認(rèn)密碼也為 root，如果管理 員不修改默認(rèn)口令，極易被攻擊者猜解利用。
除了弱口令以外，近兩年通過(guò)釣魚(yú)郵件對(duì)企業(yè)員工進(jìn)行攻擊的案例也屢見(jiàn)不鮮。攻擊者通過(guò)偽造企 業(yè)內(nèi)部郵件，誘使收件人打開(kāi)附件中的 Office 文檔或者可執(zhí)行程序，當(dāng)員工下載并打開(kāi)文檔后，便會(huì)執(zhí) 行其中的惡意代碼，并從遠(yuǎn)程下載新的惡意代碼至本地運(yùn)執(zhí)行，部分惡意程序還會(huì)在內(nèi)網(wǎng)中通過(guò)自動(dòng)化 掃描其他存在漏洞或者弱口令的主機(jī)進(jìn)行橫向感染。
圖 2.29 某釣魚(yú)郵件截圖
上圖為攻擊者對(duì)企業(yè)內(nèi)部員工群發(fā)的一次釣魚(yú)郵件攻擊。附件中包含攻擊者精心構(gòu)造的惡意程序， 并以“年中考核獎(jiǎng)“為標(biāo)題吸引員工眼球。如果收件人安全意識(shí)薄弱，盲目點(diǎn)擊附件文件，則極可能 被攻擊者利用控制。
綜上問(wèn)題可以看出，當(dāng)前大多企業(yè)或多或少都存在安全管理疏忽或員工安全意識(shí)薄弱的問(wèn)題。當(dāng)攻 擊者無(wú)法通過(guò)傳統(tǒng)技術(shù)手段對(duì)企業(yè)資產(chǎn)進(jìn)行攻擊時(shí)，人和管理上的漏洞往往更容易成為攻擊者的突破口。

安全漏洞變化趨勢(shì)

安全漏洞變化趨勢(shì)
截至 2019 年 11 月 27 日，CNVD 收錄的 2019 年 CVE漏洞數(shù)量為 11633 個(gè)，相比 2018 年有了明 顯的下降。但是在其收錄的漏洞中，高危漏洞數(shù)量為 6549 個(gè)，相比 2018 年呈明顯增長(zhǎng)趨勢(shì)。整個(gè)信 息行業(yè)面臨的安全威脅依舊嚴(yán)峻。
漏洞總數(shù) 高危漏洞數(shù)
圖 3.1 歷年 CVE漏洞數(shù)量變化

高危漏洞公開(kāi)數(shù)量增多

2019 年高風(fēng)險(xiǎn)漏洞公開(kāi)數(shù)量明顯增多，且與 2018 年相比，2019 高風(fēng)險(xiǎn)漏洞 PoC 公開(kāi)數(shù)量也明顯 增多。這意味著，高危漏洞被利用的成本變低。惡意攻擊者很容易獲取到漏洞利用代碼實(shí)施攻擊，這將 嚴(yán)重威脅到企業(yè)及個(gè)人的網(wǎng)絡(luò)及信息安全。
2019 年年末，高危漏洞 PoC、EXP 的公開(kāi)發(fā)布數(shù)量明顯減少。這與國(guó)家互聯(lián)網(wǎng)信息辦公室 11 月 20 日向社會(huì)公開(kāi)《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）》有關(guān)，《辦法》意見(jiàn)的出臺(tái)，對(duì) 威脅信息的發(fā)布進(jìn)行了約束。政府單位、漏洞平臺(tái)無(wú)論是在漏洞披露還是共享方面都變得謹(jǐn)慎，監(jiān)管更 加嚴(yán)格。僅 2019 年第四季度，綠盟科技就監(jiān)控到 PoC 352 個(gè)，這充分反映出《辦法》意見(jiàn)出臺(tái)的必要性。
綠盟科技根據(jù)危害嚴(yán)重性及影響面，在此列出 2019 年值得關(guān)注的三個(gè)高危且 PoC 公開(kāi)的漏洞。

微軟遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞

北京時(shí)間 5 月 15 日，微軟官方發(fā)布了 5 月安全更新補(bǔ)丁，此次更新共修復(fù)了 82 個(gè)漏洞，其中 Windows 操作系統(tǒng)遠(yuǎn)程桌面服務(wù)漏洞（CVE-2019-0708）威脅程度較高，攻擊者可通過(guò) RDP 協(xié)議向目 標(biāo)發(fā)送惡意構(gòu)造請(qǐng)求，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，甚至可利用此漏洞實(shí)現(xiàn)蠕蟲(chóng)式攻擊。
北京時(shí)間 9 月 7 日凌晨，有開(kāi)發(fā)者在 GitHub 上披露了 Windows 遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏 洞 (CVE-2019-0708) 的 Metasploit 利用模塊，可導(dǎo)致舊版本的 Windows（Windows 7 SP1 x64 與 Windows 2008 R2）無(wú)交互遠(yuǎn)程代碼執(zhí)行。隨著工具的擴(kuò)散，該漏洞有可能導(dǎo)致類似 WannaCry 蠕蟲(chóng)傳 播的情況。
圖 3.2 CVE-2019-0708
經(jīng)驗(yàn)證該 EXP已經(jīng)可以成功利用，但目前無(wú)法實(shí)現(xiàn)精準(zhǔn)的自動(dòng)化攻擊。他要求攻擊者在進(jìn)一步利用 前，需要手動(dòng)配置目標(biāo)詳細(xì)信息。如果未能正確配置參數(shù)信息，則可能導(dǎo)致目標(biāo)主機(jī)藍(lán)屏崩潰，目前已 有黑客利用該漏洞進(jìn)行大規(guī)模掃描的情況，可能導(dǎo)致存在漏洞的主機(jī)被批量攻擊。
建議務(wù)必對(duì)企業(yè)資產(chǎn)進(jìn)行漏洞排查，及時(shí)安裝相應(yīng)安全補(bǔ)丁或通過(guò)啟用網(wǎng)絡(luò)級(jí)認(rèn)證（NLA）等緩解
措施以避免遭受攻擊。同時(shí)，綠盟科技可提供該漏洞的檢測(cè)防護(hù)能力。
綠盟云在線排查（點(diǎn)擊“緊急漏洞”進(jìn)入線上排查）： https://cloud.nsfocus.com/#/secwarning/secwarning_news 針對(duì)該漏洞的修復(fù)補(bǔ)丁及檢測(cè)防護(hù)方案可參考以下鏈接； https://mp.weixin.qq.com/s/kFm36q2MycTR5zOOJwsiXw

及遠(yuǎn)程代碼執(zhí)行漏洞

Confluence 多被企業(yè)用戶作為 Wiki平臺(tái)，實(shí)現(xiàn)團(tuán)隊(duì)成員間的知識(shí)共享，可能存儲(chǔ)大量?jī)?nèi)部敏感文件。 若出現(xiàn)信息泄露、遠(yuǎn)程代碼執(zhí)行等漏洞，將造成嚴(yán)重影響。
從綠盟科技威脅情報(bào)中心（NTI）中可以查詢到，在全球范圍內(nèi)對(duì)互聯(lián)網(wǎng)開(kāi)放 Confluence 服務(wù)的資 產(chǎn)數(shù)量多達(dá) 32492 個(gè)，其中歸屬中國(guó)地區(qū)的資產(chǎn)數(shù)量為 7014 個(gè)。
2019 年 3 月 20 日，Confluence 官方發(fā)布了 SSRF 漏洞（CVE-2019-3395）及遠(yuǎn)程代碼執(zhí)行漏洞 （CVE-2019-3396）的安全通告，攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、服務(wù)器端請(qǐng)求偽造。此次通告 的漏洞分別存在于 WebDAV及 Widget 連接器中。通告發(fā)布不久，針對(duì)此次通告漏洞的利用代碼便在網(wǎng) 絡(luò)上迅速傳播。
2018 年 6 月 18 日前發(fā)布的 Confluence Server 及 Data Center 均受此漏洞影響。此漏洞存在于 WebDAV插件中，攻擊者可遠(yuǎn)程利用此漏洞使 Confluence 服務(wù)器或 Data Center 發(fā)送任意 HTTP 或 WebDAV請(qǐng)求，實(shí)現(xiàn)服務(wù)器端請(qǐng)求偽造（SSRF）。
官方已針對(duì)此漏洞發(fā)布 6.8.5、6.9.3 修復(fù)版本。
該漏洞為 server-side template injection 服務(wù)器端模板注入漏洞，存在于 Confluence Server 及 Data Center 的 Widget Connector 插件中。攻擊者成功利用此漏洞可實(shí)現(xiàn)目錄穿越及遠(yuǎn)程代碼執(zhí)行。
官方已針對(duì)此漏洞發(fā)布 6.12.3、6.13.3、6.14.2 修復(fù)版本。
漏洞利用成功截圖如下：
圖 3.3 漏洞利用成功截圖 具體檢測(cè)及防護(hù)方案，可參考以下鏈接：
同時(shí)，使用 Confluence 的用戶也可關(guān)注官方發(fā)布的安全通告，及時(shí)掌握 Confluence 相關(guān)安全漏洞 信息，在不影響業(yè)務(wù)正常使用的前提下，及時(shí)更新版本。
官方安全通告鏈接如下

代碼執(zhí)行漏洞

WinRAR作為最受歡迎的解壓縮軟件，在全世界有超過(guò) 5 億的用戶，支持查看、創(chuàng)建、解壓縮多種 格式的文件。
2019 年 2 月，有安全研究人員使用 WinAFL fuzzer 發(fā)現(xiàn) WinRAR中存在邏輯漏洞，利用該漏洞可 完全控制受害者主機(jī)。攻擊者通過(guò)構(gòu)造惡意的壓縮文件，并以釣魚(yú)郵件、網(wǎng)盤(pán)、論壇等方式誘導(dǎo)用戶下 載，當(dāng)受害者使用 WinRAR解壓該惡意文件時(shí)，即可完成整個(gè)攻擊過(guò)程。
該漏洞存在于 WinRAR的 UNACEV2.dll庫(kù)中，在 WinRAR解壓 .ACE文件時(shí)，由于沒(méi)有對(duì)文件名進(jìn) 行充分過(guò)濾，導(dǎo)致可通過(guò)目錄穿越，將惡意文件寫(xiě)入任意目錄，為攻擊者增加后門植入方式。該漏洞在
WinRAR中已存在超過(guò) 19 年，目前 WinRAR已經(jīng)放棄對(duì) ACE文件格式的維護(hù)支持。同時(shí)，經(jīng)排查發(fā)現(xiàn) 多個(gè)其他壓縮工具也集成了 UNACEV2.dll庫(kù)，同樣也會(huì)受到此漏洞影響。
漏洞排查及防護(hù)方案參考鏈接：

參考資料

綠盟 2019年安全事件響應(yīng)觀察報(bào)告

友情鏈接

GB-T 30279-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞分類分級(jí)指南文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-642200.html

到了這里，關(guān)于微軟遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！