勒索軟件指向Flash與Silverlight漏洞
隨著Angler與其它多種漏洞工具包將Flash與Silverlight漏洞納入清單,我們需要時刻關注最新補丁以避免受到影響。
勒索軟件攻擊活動近來持續興起,而人們給出的主要應對方式在于建立強大的備份策略并開始爭論是否該為其交付贖金。不過除了問題本身,我們也應該認真考慮如何利用良好的補丁管理策略以搶先一步解決問題。
過去幾個月以來,眾多主流漏洞工具包已經將勒索軟件納入清單。這些工具包主要著眼于指向Adobe Flash與微軟Silverlight安全漏洞的勒索軟件,包括Cryptowall、AlphaCrypt以及TeslaCrypt等等,Recorded Future在分析報告中指出。研究人員們發現,近來出現的Flash與Silverlight漏洞修復補丁已經成為應對Angler、Neutrino以及Nuclear等漏洞工具包內相關勒索軟件的“關鍵性途徑”。
“最近發布的漏洞修復補丁能夠顯著緩解勒索軟件的肆虐程度,”Recorded Future研究員Scott Donnelly寫道。
Recorded Future發現,Angler已經納入了Silverlight的一項遠程代碼執行漏洞(CVE-2016-0034),而TeslaCrypt最初于今年2月對其加以利用。微軟公司曾經在1月的安裝補丁中對其進行了修復,并指出其已經受到了“一定數量的攻擊”。而在幾周后,其才被納入Angler并廣泛用于攻擊活動。
Adobe公司也已經修復了Flash播放器中的堆緩沖區溢出漏洞(CVE-2015-8446)以及整數溢出漏洞(CVE-2015-8951),具體時間點為去年12月。編號為CVE-2015-7654的類型混淆漏洞則于去年10月得到修復。當時Adobe曾表示其中的整數溢出與類型混淆漏洞“只出現在數量有限的針對性攻擊中”。
Angler、Neutrino、Magnitude、RIG以及Nuclear等漏洞工具包目前已經包含至少一種以上提到的Flash漏洞。截至目前,Angler為惟一包含三種漏洞的工具包,Recorded Future指出。
過去幾個月來,北美與歐洲地區的一些市級醫療與警用計算機已經遭到勒索攻擊。“糟糕的補丁安裝與令人失望的安全投入導致當地公共安全與政府機構的電腦系統面臨風險,”Donnelly表示。
別讓壞人有機可乘
漏洞工具包往往依靠過時的軟件缺陷與安全漏洞實現攻擊活動。受害者不需要點擊并下載任何惡意軟件——該漏洞工具包會利用探針識別系統中的漏洞軟件并啟動相應漏洞。
這些攻擊活動之所以能夠成功,是因為安全更新發布與安全更新安裝之間存在時間差。工具包不需要使用任何零日漏洞,因為機會窗口與受害者數量已經足夠龐大。一些更為先進的漏洞工具包——例如Angler——能夠非常及時地在幾周甚至幾天之內納入最新漏洞。
Angler還促成了最近被廣泛關注的幾次惡意廣告勒索行為,包括在合法網站上顯示惡意廣告(包括MSN以及其它媒體渠道),并將用戶重新定向至存在漏洞工具包的網站處。保持操作系統處于最新版本并對各類主流軟件安裝修復補丁——包括網絡瀏覽器、Flash播放器、Silverlight以及Java等——能夠有效降低勒索軟件的成功機率。
當然,推遲補丁安裝也可能出于某些商業理由。宕機時間是其中最重要的因素,而且技術人員需要對每項補丁進行測試以確保其與其它已安裝應用程序相兼容。
“修復漏洞會給業務帶來嚴重影響,因為補丁安裝可能導致停機時間以及兼容性問題。因此要想解決補丁安裝難題,理想的補丁管理方案可謂至關重要,”Donnelly指出。
需要優先安裝的補丁
Recorded Future給出建議,提醒我們優先修復Flash與Silverlight中的安全漏洞。另外Flash還曾于2015年曝出過8項常見安全漏洞,具體編碼分別為CVE-2015-0313、CVE-2015-5119,、CVE-2015-5122、CVE-2015-0359、CVE-2015-3113、CVE-2015-0311、CVE-2015-3090以及CVE-2015-0336。
而卸載使用頻率較低的軟件也是個好主意,因為這能有效減小攻擊面。不過對于大量使用Flash、Java以及Silverlight等主流軟件的企業來說,此類作法顯然幫不上忙。他們需要經常更新補丁以領先于漏洞工具包的升級節奏。
勒索軟件還提供多種不同的攻擊微量,包括帶有惡意附件的垃圾郵件、存在可疑鏈接的釣魚郵件以及包含誘殺文件的網站,漏洞工具包只是其載體之一。不過及時安裝補丁并降低勒索軟件感染威脅能夠幫助企業至少解決一種常見的惡意攻擊場景。
