到目前为止,事实证明,2021年对科技巨头微软来说算得上“安全重灾年”,许多漏洞影响了其多项领先服务,包括Active Directory、Exchange和Azure。微软经常沦为试图利用已知漏洞和零日漏洞攻击者的目标,但自今年3月初以来,它所面临的事件发生率和规模已经让这家科技巨头乱了阵脚。
以下是2021年困扰微软的重大安全事件时间表:
3月2日:Microsoft Exchange Server漏洞
第一个值得关注的安全事件发生在3月,当时微软宣布其Exchange Server中存在漏洞CVE-2021-26855。该漏洞可在一个或多个路由器的协议级别远程执行和利用。虽然该攻击复杂性被归类为“低”,但微软表示CVE-2021-26855正在被积极利用。
更重要的是,该漏洞可以在没有任何用户交互的情况下被利用,并导致设备完全丧失机密性和保护。根据微软的说法,拒绝对443端口上Exchange服务器的不可信访问,或者限制来自公司网络外部的连接,以阻止攻击的初始阶段。但是,如果攻击者已经在基础架构中,或者如果攻击者获得具有管理员权限的用户来运行恶意文件,这将无济于事。
随后,Microsoft发布了安全补丁并建议紧急在面向外部的Exchange服务器上安装更新。
6月8日:微软修补了六个零日安全漏洞
微软针对影响各种Windows服务的安全问题发布了补丁,其中六个严重漏洞已经成为攻击者的积极目标。这6个零日漏洞是:
CVE-2021-33742:Windows HTML组件中的远程代码执行漏洞;
CVE-2021-31955:Windows内核中的信息泄露漏洞;
CVE-2021-31956:Windows NTFS中的提权漏洞;
CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;
CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;
CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;
7月1日:Windows Print Spooler漏洞
安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。需要注意的是,该漏洞与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。
微软警告称,该漏洞已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。
专家建议的缓解措施包括立即安装安全更新,同时确保以下注册表设置设置为“0”(零)或未定义:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
8月:研究人员披露Microsoft Exchange Autodiscover漏洞
Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。8月份,安全供应商Guardicore的研究人员发现,Microsoft Exchange Autodiscover存在一个设计缺陷,导致该协议将Web请求“泄漏”到用户域外的Autodiscover域,但仍在同一顶级域(TLD)中,例如 Autodiscover.com。
事实上,Autodiscover漏洞并不是一个新问题。早在2017年,Shape Security就首次披露了该核心漏洞,并在当年的Black Hat Asia上展示了调查结果。当时,CVE-2016-9940 和 CVE-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。不过,Shape Security披露的漏洞已得到修补,而在2021年更多第三方应用程序再次面临相同的问题。
与此同时,微软开始调查并采取措施减轻威胁以保护客户。微软高级主管Jeff Jones表示,“我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前降低客户面临不必要的风险。不幸的是,这个问题在研究人员向媒体披露之前并没有报告给我们,所以我们今天才知道这些说法。而且,我的报告也清楚地引用了2017 年提出这个问题的研究。这不是零日漏洞,它已经存在了至少1460天。微软不可能不知道这个漏洞。”
8月26日:研究人员访问了数千名Microsoft Azure客户的数据
8 月 26 日,云安全供应商Wiz宣布,在Microsoft Azure的托管数据库服务Cosmos DB中发现了一个漏洞, Wiz将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读/写访问权限。尽管Wiz在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。
被告知存在漏洞后,微软安全团队禁用了易受攻击的Notebook功能,并通知超过30%的Cosmos DB客户需要手动轮换访问密钥以减少风险,这些是在Wiz探索漏洞一周左右内启用了Jupyter Notebook功能的客户。此外,微软还向Wiz支付了40,000美元的赏金。目前,微软安全团队已经修复了该漏洞。
9月7日:Microsoft MSHTML漏洞
9月7日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。
据悉,MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。
微软于9月14日发布了安全更新以解决该漏洞,并敦促客户及时更新反恶意软件产品。
9月14日:微软披露了几个未被利用的漏洞
在发布安全更新以缓解Trident漏洞的同一天,微软发布了有关其服务中大量未利用(在披露时)漏洞的详细信息。
CVE-2021-36968:Windows DNS中的提权漏洞。攻击者通过本地(例如键盘、控制台)或远程(例如SSH)访问目标系统来利用该漏洞;或者攻击者依赖他人的用户交互来执行利用漏洞所需的操作(例如,诱骗合法用户打开恶意文档)。该漏洞攻击复杂度和所需权限低,无需用户交互即可本地利用。
CVE-2021-38647:影响Azure开放管理基础结构(OMI)的远程代码执行漏洞。该漏洞的攻击复杂性较低,无需用户交互,并且可能导致完全拒绝访问受影响组件中的资源。8月11日在GitHub上发布了修复程序,以允许用户在发布完整的CVE详细信息之前降低风险。
CVE-2021-36965:影响Windows WLAN AutoConfig服务的漏洞。该漏洞绑定到网络堆栈,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络发起,或者从安全或其他受限的管理域内发起。该漏洞利用仅限于由同一安全机构管理的资源。
CVE-2021-36952:该远程代码执行Visual Studio可能导致攻击者完全拒绝访问受影响组件中的资源。
CVE-2021-38667:影响Windows Print Spooler的新提权漏洞。攻击者被授权(即需要)提供基本用户功能的特权,这些功能通常只能影响用户拥有的设置和文件。或者,具有低权限的攻击者可能有能力仅对非敏感资源造成影响。CVE-2021-36975和CVE-2021-38639:微软也共享了两个影响Win32k的新特权提升漏洞。两者都有可能被攻击者反复成功利用。
9月16日:攻击者利用ManageEngine ADSelfService Plus中的漏洞
来自FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA的联合咨询警告称,Zoho ManageEngine ADSelfService Plus平台存在严重的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。
Zoho ManageEngine ADSelfService Plus是一个针对AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话说,它是一个功能强大的、高度特权的应用程序,无论是对用户还是攻击者都可以作为一个进入企业内部各个领域的便捷入口点。
9月27日:APT29以Active Directory联合身份验证服务为目标
安全研究人员标记了一个与俄罗斯政府有联系的网络间谍组织,该组织部署了一个新的后门,旨在利用Active Directory联合服务(AD FS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为 APT29 或 Cozy Bear)组织——被认为是 SUNBURST后门的幕后黑手。微软表示已通知所有受影响客户,并建议用户:
审核本地和云基础架构,包括配置、每个用户和每个应用程序的设置、转发规则以及参与者可能为维持访问而进行的其他更改;
删除用户和应用程序访问权限,审查每个用户/应用程序的配置,并按照记录在案的行业最佳实践重新颁发新的、强大的凭据;
使用硬件安全模块(HSM)以防止FoggyWeb泄露机密数据;
10月:发布并修复4个零日漏洞
10月12日,微软发布了4个0day漏洞,它们分别为:
CVE-2021-40449:Win32k权限提升漏洞。调查显示,有黑客组织在利用该0day漏洞进行针对IT公司、军事/国防承包商和外交实体的广泛间谍活动。攻击者通过安装远程访问木马,利用该漏洞获取更高的权限。
CVE-2021-40469:Windows DNS服务器远程代码执行漏洞。在域控制器上实现远程代码执行的攻击者获取域管理员权限的后果很严重,不过幸好,该漏洞很难武器化。
CVE-2021-41335:Windows内核权限提升漏洞。该漏洞已公开披露在POC(概念验证)中,成功利用可允许攻击者在内核模式下运行任意代码,这种漏洞通常是攻击链中重要的一部分。
CVE-2021-41338:Windows AppContainer防火墙规则安全功能绕过漏洞。AppContainer能够阻止恶意代码,防止来自第三方应用的渗透。而该漏洞允许攻击者绕过Windows AppContainer防火墙规则,且无需用户交互即可加以利用。
微软仍然是重点攻击目标
正如过去几个月发生的事件所示,Microsoft 服务仍然是攻击和漏洞利用的重要目标,而其中的漏洞更是层出不穷。Forrester研究总监兼首席分析师Merritt Maxim表示,“微软应用程序和系统仍然是黑客眼中的高价值目标,因为它们在全球范围内广泛部署。”
Maxim估计,大约80%的企业都以某种形式在全球范围内使用Microsoft Active Directory。鉴于Active Directory正充当用户身份验证凭据(以及其他功能)的存储库,而身份验证凭据对于黑客来说又是极具价值的数据源,因此黑客将继续针对Microsoft系统实施攻击。
攻击者会根据价值选择自己的目标,系统或程序越流行,它对黑客的价值就越大。此外,由于微软的复杂性和广泛性,其暴露的攻击面也异常大,其中大部分还是可以远程访问的。流行度和大规模远程可访问攻击面的结合创造了一个完美的目标。
微软对安全事件的回应
在反思微软对安全事件的反应和处理时,Netenrich 首席威胁猎手John Bambenek表示,该公司总体上做得很好。如果有需要改进的地方的话,他们可能需要拥有最完善的产品安全流程。
Maxim对此表示赞同。他表示,“考虑到他们的系统无处不在,想要跟踪每个可能的漏洞是一项不可能完成的任务。微软需要继续加大投资其原生产品的安全功能,并通过微软威胁情报中心等机构继续提供对影响其平台的新兴恶意软件的详细分析和调查,以使企业了解情况并受到保护。”
不过,即便微软迅速做出反应并尝试修补漏洞,但由于最近的几个补丁不完整,还是导致了大规模的漏洞利用。Kolodenker解释称,“许多Microsoft高危漏洞都是合法的安全专业人员发现的,只有在最初的补丁发布后,攻击者才开始猖獗利用。而在补丁广泛采用之前发布概念公开证明(PoC)只会进一步加剧这种情况。”
这就是为什么组织不能仅仅依赖服务提供商提供的安全更新和修复,他们自己也必须承担一部分责任,及时应用安全补丁和修复程序来减轻“以漏洞为中心”的漏洞利用和攻击风险。
Jartelius提倡将预防性和反应性方法相结合。他表示,“就像我们反复测试火警系统一样,我们也应该测试这些安全防御机制。使用内部或外部团队来模拟真实攻击,同时,练习观察和响应攻击的公司,通常会在沦为现实世界的目标之前及时发现自身存在的防御缺陷。”