根據Check Point的年中報告，2020年上半年觀察到的攻擊中，80%使用2017年及更早時間報告和注冊的“舊漏洞”，超過20%的攻擊使用至少7年的高齡漏洞。這表明我們在保持軟件最新時有問題。

[[341751]]

根據SenseCy的最新研究，勒索軟件攻擊并不都是由Windows漏洞觸發的，很多攻擊者利用了用于遠程訪問Windows網絡的工具中的漏洞。以下是研究人員發現的勒索軟件熱衷使用的四大漏洞：

CVE-2019-19781：Citrix應用程序交付控制器

CVE-2019-19781影響Citrix的遠程訪問設備，于2019年12月披露，1月修復。攻擊者使用Citrix漏洞作為入口點，然后轉向其他Windows漏洞以獲得進一步訪問。

正如FireEye博客文章中指出的，Ragnarok勒索軟件攻擊使用Citrix漏洞作為突破口，然后下載用作Windows證書服務一部分的本機工具(在MITRE ATT&CK框架中歸類為技術11005)。然后，攻擊者下載執行since1969.exe二進制文件，該二進制文件位于目錄 C：\Users\Public中，并從當前用戶的證書緩存中刪除URL。

為確保Citrix網關設備不受此漏洞影響，可以下載并使用GitHub上的FireEye/Citrix掃描工具(https://github.com/fireeye/ioc-scanner-CVE-2019-19781)。這一漏洞可用于傳播Sodinokibi/REvil、 Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等多個勒索軟件。Check Point的報告提到了類似的遠程訪問攻擊趨勢：使用遠程訪問技術(包括RDP和虛擬專用網導致RDP暴力攻擊急劇上升。

CVE-2019-11510：Pulse 虛擬專用網漏洞

漏洞CVE-2019-11510今年被許多攻擊者使用和濫用。Pulse Secure是一種虛擬專用網連接服務，隨著遠程辦公的人的增加，此類虛擬專用網軟件的使用也急劇增加。微軟4月份的一篇博文指出：“REvil(也稱為Sodinokibi)因訪問并出售虛擬專用網服務商及其客戶的賬戶和敏感信息而臭名昭著。在新冠疫情期間，此類活動更加猖獗。”

該漏洞曾被用于竊取和公開900多臺虛擬專用網企業服務器的密碼。今年6月，勒索軟件Black Kingdom還利用Pulse 虛擬專用網的這個漏洞發起攻擊，冒充谷歌Chrome的合法定時任務。

CVE 2012-0158：微軟Office通用控件

作為2020年勒索軟件攻擊最常用的四個漏洞之一，誕生于2012年的CVE 2012-0158屬于高齡漏洞，但依然是2019年最危險的漏洞之一。2020年3月，多家政府和醫療機構成為攻擊目標，攻擊者試圖通過發送名為 “20200323-sitrep-63-covid-19.doc”的富文本格式文件 (RTF)來利用這一漏洞。被受害者打開后，該文件會嘗試通過利用Microsoft在MSCOMCTL.OCX庫中的ListView/TreeView ActiveX控件中的已知緩沖區溢出漏洞(CVE-2012-0158)來投放EDA2勒索軟件。

CVE-2018-8453：Windows Win32k 組件

CVE-2018-8453是2018年發現的Windows win32k.sys組件中的漏洞。在巴西能源公司Light S.A遭受的勒索軟件攻擊中，攻擊者就利用了該公司Windows Win32k組件中的32位和64位漏洞來提權。

總結：勒索軟件全面防護，始于漏洞管理

真正令人感到不安的趨勢是，上述四大漏洞的數量和年齡。這表明大量企業的漏洞和補丁管理流程依然存在很大漏洞，企業需要盡快修補入口點并掃描補丁工具遺漏的高齡漏洞。

對于企業的安全主管們來說，不妨通過以下問題自查：您的端點會因新冠大流行而增加嗎?新的端點是否得到及時的修補、保護和監控?您是否增加了遙測和匯報流程，以便更好地在問題發生之前就收到警報?

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文