Susan Bradley 陳琳華

2020年最大的安全趨勢是與新冠肺炎疫情相關的釣魚攻擊和以遠程辦公員工為目標的攻擊出現(xiàn)了大幅增長。自從建議推廣在家遠程辦公以來，紐約市政府需要保護的終端數(shù)量由原來的8萬臺激增到了75萬臺。隨著工作人員開始使用視頻會議平臺，攻擊者開始將Zoom、Teams等視頻會議平臺作為了攻擊目標。

在2020年，勒索軟件仍然是一個重大威脅。不過，SenseCy的最新研究顯示，在已經(jīng)被發(fā)現(xiàn)的勒索軟件攻擊中，許多并不是由Windows漏洞觸發(fā)的。攻擊者主要利用的是Windows網(wǎng)絡遠程訪問工具中的漏洞。

據(jù)Check Point的一份年中評估報告顯示，以新冠肺炎主題為誘餌，利用社交工程攻擊技術的惡意軟件出現(xiàn)了擴散。另外，在2020年上半年被發(fā)現(xiàn)的攻擊當中，有80%使用了2017年之前就已經(jīng)報告過的漏洞。20%以上的攻擊使用的是至少7年前就已經(jīng)報告過的漏洞。

這些漏洞的數(shù)量和出現(xiàn)的時間表明我們的軟件在及時更新方面存在問題。我們需要對補丁管理程序進行評估，確保攻擊者使用的切入點被及時打上補丁，以及補丁工具遺漏的補丁包能夠被及時發(fā)現(xiàn)。以下是研究人員發(fā)現(xiàn)的四大頂級漏洞。

CVE-2019-11510 漏洞

在今年的許多攻擊事件中，攻擊者大量使用了CVE-2019-11510漏洞。Pulse Secure的主要用途是提供VPN連接。受疫情的影響，許多人開始選擇遠程辦公，這使得該軟件的使用量出現(xiàn)了大幅增長。攻擊者曾經(jīng)利用該漏洞竊取了900多臺VPN企業(yè)服務器的密碼。勒索軟件Black Kingdom在今年6月也是利用了Pulse VPN漏洞，冒充Google Chrome的合法計劃任務進行攻擊。在疫情之前，REvil勒索軟件的主要目標是MSP（管理服務提供商）和用戶的網(wǎng)絡與文檔。疫情暴發(fā)后，該勒索軟件變得更加猖獗，除了MSP外，更是將當?shù)卣沧鳛榱俗约旱墓裟繕恕?h3>CVE 2012-0158漏洞

CVE 2012-0158是一個8年前就已經(jīng)報告過的漏洞。盡管多年前就已經(jīng)報告過了，但是CVE 2012-0158漏洞仍然成為了2019年的頭號漏洞。在2020年3月，攻擊者以政府和醫(yī)療機構為目標發(fā)動的釣魚攻擊仍然在利用這一2012年的漏洞。只要打開其中的文件，它們就會利用MSCOMCTL.OCX庫中的ListView / TreeView ActiveX控件的CVE-2012-0158漏洞來傳播EDA2勒索軟件。

CVE-2019-19781漏洞

CVE-2019-19781于2019年12月被發(fā)現(xiàn)并于今年1月份被修復，主要影響由Citrix制造的遠程訪問設備。攻擊者可以先以Citrix的漏洞為切入點，然后再利用Windows漏洞進一步獲取訪問權限。目前Sodinokibi/REvil、Ragnarok、DopplePaymer、Maze、CLOP和Nephilim等勒索軟件均使用了該漏洞。用戶可以下載并使用GitHub上的FireEye / Citrix掃描工具來修補該漏洞。RDP暴力攻擊激增的主要原因在于RDP和VPN等遠程訪問技術的使用。

CVE-2018-8453漏洞

CVE-2018-8453漏洞是2018年在Windows win32k.sys組件中發(fā)現(xiàn)的漏洞。當時勒索軟件對巴西能源公司Light S.A的攻擊之所以得手正是利用了這一漏洞。

總結

其實，在企業(yè)不斷前進的過程中，我們也需要花些時間回頭看一看并評估一下自己當前的狀態(tài)。看看自己是否能夠將修復工作做得更好，能否進行更為順暢的溝通，能否將保護工作做得更好。同時，我們也要反思幾個問題：自己的終端數(shù)量是否因疫情而增加？自己是否已對接入點進行了評估，以確保它們得到了修補、保護和監(jiān)控？自己是否增加了遙測和報修流程，以便在攻擊發(fā)生前能夠對出現(xiàn)的問題更好地發(fā)出警報？

原文網(wǎng)址

https：//www.csoonline.com/article/3572336/4-top-vulnerabilities-ransomware-attackers-exploited-in-2020.html