2024 年第 2 季度的漏洞利用和漏洞
2024 年第 2 季度的漏洞利用和漏洞
卡巴斯基威胁情报 2024-08-24 15:00
2024 年第 2 季度是多事之秋,因为应用程序和操作系统出现了新的有趣的漏洞和利用技术。通过易受攻击的驱动程序进行的攻击已成为操作系统中权限提升的一种通用手段。此类攻击值得注意,因为漏洞不一定是最新的,因为攻击者本身会向系统提供未打补丁的驱动程序。本报告考虑了网络犯罪分子可用于攻击目标系统的公开研究的统计数据,并提供了漏洞的统计快照。
vulnerabilities
已注册漏洞的统计信息
在本节中,我们将根据 cve.org 门户的数据查看已注册漏洞的统计信息。
2024 年第 2 季度,注册的漏洞数量超过了去年同期的数字,并且可能会进一步增长,因为一些漏洞在注册后不会立即添加到 CVE 列表中。这一趋势与我们在第一季度报告中指出的已注册漏洞数量的总体上升是一致的。
2023 年第 2 季度和 2024 年第 2 季度已注册漏洞总数和严重漏洞数量
比较 2019-2024 年期间的数据,我们看到,在 2024 年上半年,注册的漏洞总数略低于 2023 年全年的一半。值得注意的是,登记的漏洞数量呈逐季上升,因此我们不能肯定地说到年底它不会超过 2023 年的数字。
2019-2024 年漏洞数量、关键漏洞和存在漏洞利用的漏洞比例
该图表还显示了在所有已注册的漏洞中,哪些漏洞是关键的,哪些是有公开描述或概念验证的。后者在第二季度所占份额的下降表明,已注册漏洞的数量增长速度快于已发布的漏洞利用数量。
与 2023 年相比,关键漏洞所占比例也略有下降。但是,构成最大风险的是关键漏洞。为了了解组织可能面临的风险,以及这些风险如何随着时间的推移而变化,让我们看看构成 2023 年第 2 季度和 2024 年第 2 季度注册的关键 CVE 总数的漏洞类型。
2023 年第 2 季度注册的属于严重类型的CVE漏洞
2024 年第 2 季度注册的属于严重类型的CVE漏洞
正如我们从图表中看到的,即使有 CVE 条目,大多数问题仍未分类,需要进一步调查以获取详细信息,这可能会严重阻碍保护可能出现这些漏洞的系统的努力。除了未分类的关键漏洞外,2023 年第 2 季度的其他常见问题还包括:
•
CWE-89:SQL 命令中使用的特殊元素的不当中和(SQL 注入)
•
CWE-78:操作系统命令中使用的特殊元素的不当中和(操作系统命令注入)
•
CWE-74:下游组分(注入)在输出中对特殊元素的不当中和
其他类型的漏洞在 2024 年第 2 季度脱颖而出:
•
CWE-434:无限制上传危险类型的文件
•
CWE-89:SQL 命令中使用的特殊元素的不当中和(SQL 注入)
•
CWE-22: 对受限目录的路径名进行不当限制(路径遍历)
最常见类型的两个列表都表明,绝大多数分类的关键漏洞都已注册到 Web 应用程序中。根据开源信息,Web 应用程序中的漏洞确实是最关键的,因为 Web 应用程序包括可以访问敏感数据的软件,例如文件共享系统、控制 VPN 访问的控制台以及云和物联网系统。
vulnerabilities
漏洞利用统计信息
本部分介绍从开源和我们的内部遥测获取的 2024 年第 2 季度的漏洞利用统计数据。
漏洞利用是相当昂贵的软件。它们的保质期可以以天为单位,甚至以小时为单位计算。相反,创建它们是一个漫长的过程,根据漏洞利用的类型而有所不同。以下是用户受到漏洞攻击的最受欢迎平台的统计数据。
vulnerabilities
Windows和Linux漏洞利用
自今年年初以来,我们看到 Windows 漏洞触发卡巴斯基解决方案的数量有所增加,这主要是由于网络钓鱼电子邮件和试图通过漏洞利用获得对用户系统的初步访问权限。其中最受欢迎的是针对 Microsoft Office 套件中的漏洞利用:
• CVE-2018-0802 – 公式编辑器组件中的远程代码执行漏洞
• CVE-2017-11882 – 公式编辑器中的另一个远程代码执行漏洞
• CVE-2017-0199 – Microsoft Office 和写字板中的远程代码执行漏洞
• CVE-2021-40444 – MSHTML 组件中的远程代码执行漏洞
2023 年第 1 季度 — 2024 年第 2 季度遭遇漏洞利用的 Windows 用户数量动态。2023 年第 1 季度遭遇漏洞利用的用户数为 100%
请注意,由于具有相似的检测模式,分类为 CVE-2018-0802 和 CVE-2021-40444 的漏洞可能包括 CVE-2022-30190(Microsoft 支持诊断工具 (MSDT) 中的远程代码执行)和 CVE-2023-36884(Windows Search 组件中的远程代码执行)的漏洞,这些漏洞也仍然是实时威胁。
随着 Linux 在企业领域的增长,它在漏洞利用方面也显示出增长;然而,与 Windows 相比,Linux 的主要漏洞针对内核:
• CVE-2022-0847 – Linux 内核中的权限提升漏洞
• CVE-2023-2640 – Ubuntu 内核中的权限提升漏洞
• CVE-2021-4034 – 用于以其他用户身份执行命令的 pkexec 实用程序中存在权限提升漏洞
2023 年第 1 季度 — 2024 年第 2 季度遭遇漏洞利用的 Linux 用户数量动态。2023 年第 1 季度遭遇漏洞利用的用户数为 100%
大多数针对 Linux 的漏洞都与权限提升有关,可用于在系统中获取持久性和运行恶意代码。这可能是因为攻击者经常以需要高权限才能获得控制权的 Linux 服务器为目标。
vulnerabilities
最常见的漏洞利用
第 2 季度,存在公开漏洞利用的关键漏洞的分布发生了变化。请参阅下面的图表,了解第一季度和第二季度的直观比较。
按平台划分的关键漏洞利用分布(2024 年第 1 季度)
按平台划分的关键漏洞利用分布(2024 年第 2 季度)
与第一季度相比,第二季度操作系统漏洞利用所占的份额有所增加。这是因为研究人员倾向于在网络安全会议的夏季之前发布PoC。因此,在第二季度发布了大量的操作系统漏洞。此外,在报告期内,Microsoft Sharepoint 中漏洞利用的份额有所增加,几乎没有针对浏览器的新漏洞利用。
vulnerabilities
APT攻击中的漏洞利用
我们分析了哪些漏洞最常用于高级持续性威胁 (APT)。以下排名基于我们的遥测、研究和开源。
APT 攻击中被利用的 10 大漏洞(2024 年第 2 季度)
尽管 APT 攻击中常见的漏洞列表与 Q1 相比截然不同,但攻击者最常利用相同类型的软件/硬件解决方案的漏洞来访问组织的内部网络:远程访问服务、访问控制机制和办公应用程序。请注意,此排名中 2024 年的漏洞在发现时就已经被利用,即它们是零日漏洞。
vulnerabilities
利用易受攻击的驱动程序攻击操作系统
本部分介绍使用易受攻击的驱动程序攻击 Windows 操作系统及其软件的公共漏洞。根据公开资料和我们自己的数据,有数百个这样的易受攻击的驱动程序,并且新的驱动程序一直在出现。
威胁参与者使用易受攻击的驱动程序作为“自带易受攻击的驱动程序 (BYOVD) 技术”的一部分。这涉及在目标系统上安装未打补丁的驱动程序,以确保利用该漏洞在操作系统中进行权限提升或其他网络犯罪活动。这种方法最初被游戏作弊的创造者使用,但后来被网络犯罪分子采用。
自 2023 年以来,我们注意到使用易受攻击的驱动程序攻击 Windows 以提升权限和绕过安全机制的趋势有所上升。作为回应,我们正在系统地添加和改进我们的解决方案中通过易受攻击的驱动程序检测和阻止恶意操作的机制。
vulnerabilities
BYOVD 攻击工具
易受攻击的驱动程序本身对于操作系统安全性来说是一个足够严重的问题,但真正的破坏性活动需要客户端应用程序将恶意指令传递给驱动程序。
自 2021 年以来,我们已经看到了 24 种在线工具的出现,用于在权限提升和对特权进程的攻击中控制易受攻击的驱动程序,例如内置和第三方安全解决方案。请参阅下面的逐年分布。
2021-2024 年在线发布的用于控制弱势驾驶员的工具数量
正如我们所看到的,2023 年是 BYOVD 攻击工具最丰富的一年。2024 年上半年发布的比 2021 年和 2022 年的总和还要多。我们评估了在实际攻击中使用此类软件的趋势,如 2024 年第一季度和第二季度对卡巴斯基产品被阻止的攻击所示:
2024 年第 1 季度和第 2 季度在卡巴斯基产品上遭受使用易受攻击的驱动程序攻击的用户数量动态;2024年第一季度的数据为100%
随着 BYOVD 攻击数量的增加,利用易受攻击驱动程序的工具开发人员开始出售它们,因此我们看到使用易受攻击的驱动程序进行攻击的已发布工具数量有所下降。但是,如前所述,它们继续公开提供。
有趣的漏洞
本节提供有关 2024 年第 2 季度注册的相关漏洞的信息。
CVE-2024-26169 (WerKernel.sys)
Werkernel.sys 是 Windows 错误报告 (WER) 子系统的驱动程序,该子系统处理错误消息的发送。CVE-2024-26169 是在调查与勒索软件攻击相关的事件时发现的零日漏洞。这是由于werkernel.sys使用 null 安全描述符引起的,该描述符处理访问级别。这允许任何用户与驱动程序交互,例如,重写注册表项 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe的值。此键存储有关负责对 Windows 中的应用程序进行错误处理的应用程序的数据。
对利用算法的检查揭示了以下事件:
漏洞生成的事件列表
该漏洞利用尝试执行准备操作以创建特殊的注册表键,这些注册表键允许使用 SYSTEM 用户权限重新启动注册表中指定的可执行文件。该漏洞利用本身基于竞争条件漏洞,因此其成功与否取决于启动它的系统。
CVE-2024-26229 (csc.sys)
Csc.sys 是 Windows 中的另一个驱动程序,这次与 Windows 客户端缓存 (CSC) 服务有关,该服务在客户端处理数据缓存。CVE-2024-26229 是一个权限提升漏洞,它清楚地说明了操作系统驱动程序中代码不安全的问题。在Microsoft门户网站上发布有关此漏洞的信息几天后,一个PoC被发布,该PoC在网上传播,并针对各种格式和框架进行了重写以进行渗透测试。
该漏洞非常易于使用,包括 Write 原语(写入任意内核位置)和内核对象地址泄漏原语的“经典”组合。
该漏洞是使用 IOCTL 触发的,这意味着与易受攻击的驱动程序的通信方法在许多方面类似于 BYOVD 攻击方法。
该漏洞利用的主要算法旨在修改用户运行进程的PRIMARY_TOKEN结构。这是通过易受攻击的驱动程序的能力实现的。
CVE-2024-4577 (PHP CGI)
CVE-2024-4577 源于绕过传递给 Web 应用程序的参数验证。从本质上讲,该漏洞的存在是因为 CGI 模式下的 PHP 可能无法完全验证某些语言页面的危险字符。网络犯罪分子可以使用此功能执行标准的操作系统命令注入攻击。
在使用以下语言设置的系统中会出现验证问题:
• 繁体中文(代码页数 950)
• 简体中文(代码页 936)
• 日语(代码页 932)
请注意,CGI 模式目前不是很流行,但可以在 XAMPP Web 服务器等产品中找到。
利用该漏洞的原因是,要绕过过滤器参数,只需在基于中文字符的书写系统中用等效的 Unicode 符号“-”(软连字符)替换普通破折号就足够了。因此,查询补充了可以运行其他命令的数据。在进程树中,完整的利用将如下所示:
利用 CVE-2024-4577 期间受害者系统中的进程树
要点和建议
就质量和数量而言,漏洞及其有效利用每个季度都在继续增长,威胁行为者正在寻找方法使已经修补的漏洞恢复生机。利用封闭漏洞的主要技巧之一是 BYOVD 技术,攻击者通过该技术将易受攻击的驱动程序加载到系统中。公共领域的各种示例和工具包使网络犯罪分子能够快速使易受攻击的驱动程序适应他们的需求。展望未来,我们可能只会在攻击中看到更积极地使用这种技术。
为了保持安全,您需要及时应对不断变化的威胁形势,以及:
• 彻底了解和监控您的基础设施,特别注意周边;了解自己的基础设施对于确保其安全至关重要。
• 引入有效的补丁管理,及时检测和消除基础设施漏洞,包括攻击者潜入网络的易受攻击的驱动程序。我们的漏洞评估和补丁管理以及卡巴斯基漏洞数据源解决方案可以帮助您解决这个问题。
• 使用全面的安全解决方案,为工作站提供强大的保护,以及早期检测和预防任何复杂的攻击,收集来自全球各地的实时网络攻击数据,并为员工提供基本的数字素养技能。我们的卡巴斯基NEXT解决方案系列满足了所有这些要求,甚至更多。