微软、Adobe利用

面包屑

你不可能修补所有的cve, 所以,把重点放在那些骗子愿意为之付费的漏洞上, 这是一项对地下开采市场的研究.

一项针对网络犯罪论坛地下市场的长达一年的研究表明,骗子们对微软的漏洞垂涎三尺, 哪些是最受欢迎和最受欢迎的漏洞.

根据研究人员的调查(见下表),微软的产品占据了47%的请求, 相比之下,, 说, 利用物联网(IoT), 其中只有5%.

网络犯罪分子对微软产品的攻击欲望也在市场上得到满足, 据趋势科技报道. 第二个数据点(见下表)显示,61%的已售漏洞针对的是微软产品, 包括办公室, 窗户, Internet Explorer和Microsoft远程桌面协议(RDP).

没有惊喜. 闪点研究人员也在12月报告了RDP服务器访问的价格 一直在飙升.

这项研究于周一在2021年全虚拟RSA会议上公布, 作者:趋势科技高级研究员Mayra Rosario Fuentes. 在她的会议中,标题为 地下故事:脆弱性武器化生命周期, 富恩特斯说,这项研究追踪了一年多来在600多个地下论坛上出售和请求使用的漏洞.

研究人员发现,威胁行为者愿意支付的恶意攻击的平均价格是2美元,000. 那些骗子正在追捕犯人, 温柔的新漏洞, 在他们的愿望清单上,52%的漏洞使用时间不到2年:这个年龄段的漏洞也占了54%.

老歌但好吃的还是很辣很辣

更老的漏洞仍然存在, 不过:22%的地下销售的漏洞都是3年以上的, 根据富恩特斯. 最老的弱点是关节炎,可以追溯到1999年.

出售的“过时”的exploit, 45%是微软口味的, 第二个讨好大众的骗子是Adobe的exploit. 富恩特斯指出,修补一个面向互联网的系统的平均时间是71天:这对攻击者来说是相当长的一段时间.

下面是一个利用请求的例子, 潜在买家在哪里寻找开发机会 cve - 2019 - 1151 -一个Microsoft Graphics的远程代码执行漏洞(RCE).

另一个请求是在12月12日发出的. 23, 2020, 在Apache Web服务器中寻找“潜在的1天RCE漏洞”:这不是一个令人惊讶的发现吗, 鉴于《bte365》 报告 发现WordPress和Apache Struts web框架是 最有针对性的网络犯罪 in 2019.

趋势科技的研究人员发现,Office和Adobe漏洞在英语论坛中最为常见. 截至上周,世界领先的PDF阅读器Adobe Acrobat还在使用 在主动攻击 在一个可能导致RCE的漏洞被利用之后. 这一事件同时影响了窗户(攻击者最青睐的攻击点之一)和macOS系统.

漏洞的生命周期

和大多数市场一样,漏洞挖掘市场也有买家和卖家的信息. 在一次这样的“待售”宣传中,卖方提供了两个严重程度为7的cve.5,以1000美元的价格. 另一则广告提供4个cve,价格为30美元,000美元, 包括一个加载器脚本, 有了附加的“好处”,重新检查反病毒检测,以确保可执行的恶意软件还没有被检测到,不会被阻止, 其他服务.

在犯罪分子开发出一个exploit之后,下一步就是将其出售. 在它在野外之后,一个漏洞进入了公开披露的阶段. 接下来,供应商对该漏洞进行修补. 最后,这个漏洞有两条路可走:如果它被修补了,那就是生命的终结. 如果不是, 漏洞还在, 等待被购买并释放在任何不幸的受害者还没有修补.

富恩特斯举了几个例子来说明生命周期. 下面是描述其中一个漏洞的时间线:CVE-2020-9054的八个月生命周期:一个在XSS网络犯罪论坛上以20美元出售的漏洞,2020年2月, 是网络安全记者布莱恩·克雷布斯写的, 是微软在2020年3月公开披露并修补的吗, 结果是 一个月后被僵尸网络利用. 僵尸网络,一个变种 Mirai僵尸网络 名为Mukashi,针对Zyxel网络连接存储(NAS)设备, 允许威胁行为者远程入侵和控制设备.

五个月后,它被修补, 2020年8月, 另一个论坛帖子要求利用漏洞, 提供2美元的低价支付,000:原功绩的十分之一.

当你无法修补所有的补丁时,从哪里开始呢

“你不可能每年都修补所有的cve,”富恩特斯说. 那么你该如何区分轻重缓急?

她建议在制定补丁计划时将漏洞的可取性考虑在内. 不要仅仅基于脆弱性的严重性来选择战斗. 相反,要考虑到骗子想要用什么和他们能买到什么. 请记住,微软和Adobe的漏洞是热门项目:“认为你可以修补所有东西是不现实的,”富恩特斯指出. “专注于黑客喜欢关注的领域:微软和Adobe.”

还要记住这一点 虚拟补丁 -安全策略实施层,透过分析事务和拦截传输中的攻击,防止恶意流量到达web应用程序,以防止已知漏洞被利用, 这一切都无需花时间修改应用程序本身的实际源代码——可以购买额外的时间, 她推荐.

“先修补什么”等式中的另一个因素是,脆弱性价格会随着时间的推移而下降, 但是,有价值的漏洞仍然比大多数人预期的更有价值,富恩特斯指出. 修补昨天流行的漏洞可能比修补今天的关键漏洞更重要,”她说.