就應用程序和操作系統的新漏洞和漏洞利用技術而言，2024年第二季度可謂是多事之秋。通過易受攻擊的驅動程序進行攻擊已成為操作系統中權限提升的一種通用手段。這種攻擊值得注意的地方在于，漏洞不一定是最新的，因為攻擊者自己會向系統提供未打補丁的驅動程序。本報告考慮了網絡犯罪分子可用于攻擊目標系統的公開研究的統計數據，并提供了漏洞的統計快照。

已注冊漏洞的統計數據

在本節中，卡巴斯基根據cve.org門戶的數據查看了已注冊漏洞的統計信息。

數據顯示，在2024年第二季度，注冊的漏洞數量超過了去年同期的數字，并且可能會進一步增長，因為一些漏洞在注冊后不會立即添加到 CVE 列表中。這一趨勢與第一季度報告中指出的已注冊漏洞數量的總體上升是一致的。

【2023年第二季度和2024年第二季度已注冊漏洞總數和關鍵漏洞數量】

比較2019-2024年期間的數據可以看到，在2024年上半年，注冊的漏洞總數略低于2023年全年的一半。但值得注意的是，注冊的漏洞數量呈逐季上升趨勢，因此我們不能肯定地說到今年年底它不會超過2023年的數字。

【2019-2024年漏洞數量、關鍵漏洞和存在漏洞利用的漏洞比例】

上述圖表還顯示了在所有已注冊的漏洞中，關鍵漏洞和有公開描述或概念證明的漏洞所占的份額。后者在第二季度所占份額的下降表明，已注冊漏洞的數量增長速度快于已發布的漏洞利用數量。

與2023年相比，關鍵漏洞所占比例也略有下降。但構成最大風險的仍然是關鍵漏洞。為了了解組織可能面臨的風險，以及這些風險如何隨時間的推移而變化，讓我們來看看構成2023年第二季度和2024年第二季度注冊的關鍵CVE總數的漏洞類型。

【2023年第二季度注冊的關鍵CVE漏洞類型】

【2024年第二季度注冊的關鍵CVE漏洞類型】

如上所見，即使有CVE條目，大多數問題仍未分類，需要進一步調查以獲取詳細信息，這可能會嚴重阻礙系統防護工作，以遏制這些潛在漏洞。除了未分類的關鍵漏洞外，2023年第二季度還包括以下常見問題：

• CWE-89：SQL命令中使用的特殊元素的不當中和（SQL注入）；
• CWE-78：操作系統命令中使用的特殊元素的不當中和（操作系統命令注入）；
• CWE-74：下游組件（注入）在輸出中對特殊元素的不當中和；

2024年第二季度也出現了一些值得注意的漏洞類型：

• CWE-434：無限制上傳危險類型的文件；
• CWE-89：SQL命令中使用的特殊元素的不當中和（SQL注入）；
• CWE-22：對受限目錄的路徑名進行不當限制（路徑遍歷）；

上述兩個最常見類型的列表都表明，絕大多數分類的關鍵漏洞都已注冊為Web應用程序。根據開源信息，Web應用程序中的漏洞確實是最關鍵的，因為Web應用程序包括可以訪問敏感數據的軟件，例如文件共享系統、控制VPN訪問的控制臺以及云和物聯網系統。

漏洞利用統計數據

本節介紹了從開源和卡巴斯基內部遙測獲取的2024年第二季度的漏洞利用統計數據。

漏洞利用彌足珍貴，其保質期可以以天為單位，甚至以小時為單位計算。另一方面，創建它們是一個漫長的過程，根據漏洞利用的類型而有所不同。以下是Windows和Linux平臺用戶受到漏洞攻擊的統計數據。

1.Windows和Linux漏洞利用

自今年年初以來，研究人員發現Windows漏洞觸發卡巴斯基解決方案的數量有所增加，這主要歸咎于網絡釣魚電子郵件嘗試和試圖通過漏洞利用獲得對用戶系統的初步訪問權限。其中最流行的是針對Microsoft Office套件中的漏洞利用：

• CVE-2018-0802——Equation Editor組件中的遠程代碼執行漏洞；
• CVE-2017-11882——Equation Editor中的另一個遠程代碼執行漏洞；
• CVE-2017-0199——Microsoft Office和寫字板中的遠程代碼執行漏洞；
• CVE-2021-40444——MSHTML組件中的遠程代碼執行漏洞；

【2023年第一季度至2024年第二季度遭遇漏洞利用的Windows用戶數量動態。2023年第一季度遭遇漏洞利用的用戶數為100%】

請注意，由于具有相似的檢測模式，歸類為CVE-2018-0802和CVE-2021-40444的漏洞可能包括CVE-2022-30190（Microsoft支持診斷工具中的遠程代碼執行）和CVE-2023-36884（Windows Search組件中的遠程代碼執行）漏洞，這些漏洞也仍然是實時威脅。

隨著Linux在企業領域的應用普及，它在漏洞利用方面也顯示出增長趨勢；然而，與Windows相比，Linux漏洞主要針對內核：

• CVE-2022-0847——Linux內核中的權限提升漏洞；
• CVE-2023-2640——Ubuntu內核中的權限提升漏洞；
• CVE-2021-4034——用于以其他用戶身份執行命令的pkexec實用程序中的權限提升漏洞；

【2023年第一季度至2024年第二季度遭遇漏洞利用的Linux用戶數量動態。2023年第一季度遭遇漏洞利用的用戶數為100%】

大多數針對Linux的漏洞都與權限提升有關，可用于在系統中獲取持久性和運行惡意代碼。這可能是因為攻擊者經常以需要高權限才能獲得控制權的Linux服務器為目標。

2.最常見的漏洞利用

在第二季度中，存在公開漏洞利用的關鍵漏洞的分布發生了變化。請參閱下面的圖表，了解第一季度和第二季度的可視化比較。

【按平臺劃分的關鍵漏洞利用分布（2024年第一季度）】

【按平臺劃分的關鍵漏洞利用分布（2024年第二季度）】

與第一季度相比，第二季度操作系統中漏洞利用的份額有所增加。這是因為研究人員傾向于在夏季網絡安全會議之前發布概念驗證代碼（PoC）。因此，在第二季度發布了大量的操作系統漏洞。此外，在報告期內，Microsoft Sharepoint中漏洞利用的份額有所增加，幾乎沒有針對瀏覽器的新漏洞利用。

APT攻擊中的漏洞利用

卡巴斯基研究人員還分析了高級持續性威脅（APT）中最常用的漏洞類型。以下排名基于卡巴斯基的遙測、研究和開源數據。

【2024年第二季度APT攻擊中最常利用的10大漏洞】

盡管APT攻擊中常見的漏洞列表與第一季度相比截然不同，但攻擊者最常利用相同類型的軟件/硬件解決方案的漏洞來訪問組織的內部網絡：遠程訪問服務、訪問控制機制和辦公應用程序。請注意，該排名中2024年的漏洞在發現時就已經被利用，也就是說，它們是零日漏洞。

利用易受攻擊的驅動程序攻擊操作系統

本節介紹了使用易受攻擊的驅動程序攻擊Windows操作系統及其軟件的公共漏洞利用。根據公開資料和卡巴斯基自己的數據顯示，有數百個這樣的易受攻擊的驅動程序，并且新的驅動程序仍在不斷涌現。

威脅行為者使用易受攻擊的驅動程序作為“自帶易受攻擊的驅動程序 （BYOVD） 技術”的一部分。這涉及在目標系統上安裝未打補丁的驅動程序，以確保該漏洞被用于在操作系統中進行權限提升或其他網絡犯罪活動。這種方法最初被游戲作弊的創造者使用，但后來被網絡犯罪分子采用。

整體來看，自2023年以來，利用易受攻擊的驅動程序攻擊Windows以提升權限和繞過安全機制的趨勢有所上升。

BYOVD 攻擊工具

易受攻擊的驅動程序本身對于操作系統安全性來說就是一個足夠嚴重的問題，但真正的破壞性活動需要客戶端應用程序向驅動程序傳遞惡意指令。

自2021年以來已經陸續出現了24種在線工具，用于在權限提升和對特權進程的攻擊中控制易受攻擊的驅動程序，例如內置和第三方安全解決方案。具體如下所示：

【2021-2024年在線發布的用于控制脆弱驅動程序的工具數量】

正如我們所看到的，2023年是BYOVD攻擊工具最豐富的一年。2024年上半年發布的工具數量比2021年和2022年的總和還要多。卡巴斯基進一步評估了在實際攻擊中使用此類軟件的趨勢，具體所下所示：

【2024年第一季度和第二季度，在卡巴斯基產品上遭受使用易受攻擊的驅動程序攻擊的用戶數量動態；2024年第一季度的數據為100%】

隨著BYOVD攻擊數量的增加，利用易受攻擊驅動程序的工具開發人員開始出售它們，因此我們看到使用易受攻擊的驅動程序進行攻擊的已發布工具數量有所下降。但是，如前所述，它們仍繼續公開提供。

有趣的漏洞

本節提供有關2024年第二季度注冊的相關漏洞的信息。

1.CVE-2024-26169（WerKernel.sys）

Werkernel.sys是Windows錯誤報告（WER）子系統的驅動程序，CVE-2024-26169是在調查與勒索軟件攻擊相關的事件時發現的零日漏洞。這是由werkernel.sys使用null安全描述符引起的，該描述符處理訪問級別。這允許任何用戶與驅動程序交互，例如，重寫注冊表項HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe的值。此鍵存儲有關負責對Windows中的應用程序進行錯誤處理的應用程序的數據。

對利用算法的檢查揭示了以下事件：

【漏洞利用生成的事件列表】

該漏洞利用試圖執行準備操作以創建特殊的注冊表鍵，這些注冊表鍵允許使用SYSTEM用戶權限重新啟動注冊表中指定的可執行文件。該漏洞利用本身基于競態條件漏洞，因此其成功與否取決于啟動它的系統。

2.CVE-2024-26229（csc.sys）

Csc.sys是Windows中的另一個與Windows客戶端緩存（CSC）服務有關的驅動程序。CVE-2024-26229是一個權限提升漏洞，它清楚地說明了操作系統驅動程序中代碼不安全的問題。在Microsoft門戶網站上發布有關此漏洞的信息幾天后，一個PoC就發布了并在網上傳播，并針對各種格式和框架進行了重寫以進行滲透測試。

該漏洞利用非常易于使用，包括Write原語（寫入任意內核位置）和內核對象地址泄漏原語的“經典”組合。

該漏洞是使用IOCTL觸發的，這意味著與易受攻擊的驅動程序的通信方法在許多方面類似于BYOVD攻擊方法。

該漏洞利用的主要算法旨在修改用戶運行進程的PRIMARY_TOKEN結構。這是通過易受攻擊的驅動程序的能力實現的。

3.CVE-2024-4577（PHP CGI）

CVE-2024-4577源于繞過傳遞給Web應用程序的參數驗證。從本質上講，該漏洞的存在是因為CGI模式下的PHP可能無法完全驗證某些語言頁面的危險字符。網絡犯罪分子可以利用這一特性執行標準的操作系統命令注入攻擊。

在使用以下語言設置的系統中會出現驗證問題：

• 繁體中文（代碼頁950）
• 簡體中文（代碼頁936）
• 日語（代碼頁932）

請注意，CGI模式目前不是很流行，但可以在XAMPP Web服務器等產品中找到。

利用該漏洞的原因是，要繞過過濾器參數，只需在基于中文字符的書寫系統中用等效的 Unicode 符號“-”（軟連字符）替換普通破折號就足夠了。因此，該查詢將使用可以運行其他命令的數據得到補充。在進程樹中，完整的漏洞利用如下所示：

【利用CVE-2024-4577期間受害者系統中的進程樹】

結語和建議

就質量和數量而言，漏洞及其有效利用每個季度都在繼續增長，威脅行為者正在尋找讓已修補漏洞復活的方法。利用這種漏洞的主要技巧之一是BYOVD技術，即攻擊者自己將易受攻擊的驅動程序加載到系統中。公共領域中存在的各種示例和工具包允許網絡犯罪分子快速調整易受攻擊的驅動程序，以滿足他們的需求。展望未來，這種技術將在攻擊中得到更積極、廣泛地應用。

為了保障安全，組織可以遵循如下實踐，以及時應對不斷變化的威脅形勢：

• 徹底了解和監控您的基礎設施，尤其要注意外圍和邊緣；了解自己的基礎設施對于確保其安全至關重要。
• 引入有效的補丁管理，以及時檢測和消除基礎設施漏洞，包括攻擊者用于潛入網絡的易受攻擊的驅動程序。
• 使用全面的安全解決方案，為工作站提供強大的保護并盡早檢測和預防任何復雜的攻擊。收集來自全球各地的實時網絡攻擊數據，并為員工提供基本的數字素養技能。

原文鏈接：https://securelist.com/vulnerability-exploit-report-q2-2024/113455/