-
零日漏洞
鎖定
零日漏洞攻擊威脅
雖然還沒有出現大量的“零日漏洞”攻擊,但其威脅日益增長,證據如下:黑客更加善於在發現安全漏洞不久後利用它們。過去,安全漏洞被利用一般需要幾個月時間。最近,發現與利用之間的時間間隔已經減少到了數天。
人們掌握的安全漏洞知識越來越多,就有越來越多的漏洞被發現和利用。一般使用防火牆、入侵檢測系統和防病毒軟件來保護關鍵業務IT基礎設施。這些系統提供了良好的第一級保護,但是儘管安全人員盡了最大的努力,他們仍不能免遭受零日漏洞攻擊。
零日漏洞發現方法
按照定義,有關“零日漏洞”攻擊的詳細信息只在攻擊被確定後才會出現。以下是當發生“零日漏洞”攻擊時將看到的重要跡象:發源於一台客户機或服務器的出乎意料的合法數據流或大量的掃描活動;合法端口上的意外數據流;甚至在安裝了最新的補丁程序後,受到攻擊的客户機或服務器仍發生類似活動。
零日漏洞防禦方法
預防:良好的預防安全實踐是必不可少的。這些實踐包括謹慎地安裝和遵守適應業務與應用需要的防火牆政策,隨時升級防病毒軟件,阻止潛在有害的文件附件,隨時修補所有系統抵禦已知漏洞。漏洞掃描是評估預防規程有效性的好辦法。
實時保護:部署提供全面保護的入侵防護系統(IPS)。在考慮IPS時,尋找以下功能:網絡級保護、應用完整性檢查、應用協議“徵求意見”(RFC)確認、內容確認和取證能力。
計劃的事件響應:即使在採用以上措施後,企業仍可能受到“零日漏洞”影響。周密計劃的事件響應措施以及包括關鍵任務活動優先次序在內的定義的規則和規程,對於將企業損失減少到最小程度至關重要。
防止傳播:這可以通過將連接限制在滿足企業需要所必須的機器上。這樣做可以在發生初次感染後,減少利用漏洞的攻擊所傳播的範圍。
“零日漏洞”攻擊對於警惕性最高的系統管理人員來説也是一種挑戰。但是,部署到位的安全護保措施可以大大降低關鍵數據和系統面臨的風險。
零日漏洞相關新聞
零日漏洞來襲 微軟狠遭考驗
微軟無法在研究人員給定的合理時間裏解決最初在2013年10月發現的IE瀏覽器零日漏洞,因此這個漏洞已經正式公開。
惠普零日項目(Zero-Day Initiative, ZDI)是一個在Pwn2Own黑客競技研究團隊。根據他們所發佈的一份報告,IE零日漏洞隻影響到微軟IE 8。當瀏覽器處理CMarkup對象時,這個漏洞就會暴露無遺。
雖然這個漏洞隻影響到IE 8,但是在同一個庫中又出現另一個問題,攻擊者可以利用這個漏洞獲得IE 10的本地訪問權限。對於這個漏洞,微軟在公開宣佈這個漏洞之前就發佈了一個“修復”工具包。
當用户訪問一個惡意網站時,就可能觸發當前這個漏洞,如果黑客成功入侵這個漏洞,那麼他就可以在受攻擊的主機上遠程執行任何代碼,以及獲得與當前用户相同的訪問權限。用户交互會加劇這個漏洞的嚴重性——通用漏洞評分系統將這個漏洞評定為6.8分。
ZDI報告指出:“然而,在所有情況中,攻擊者可能並沒有辦法迫使用户查看攻擊者所控制的內容。相反,攻擊者可能不得不用一些手段説服用户自己主動去操作。通常就是誘導用户去點擊郵件內容或即時消息中的一個超鏈接,從而讓用户訪問攻擊者的網站,或者誘導用户打開電子郵件的附件。”
ZDI指出,他們第一次是在2013年10月份向微軟報告了IE零日(CVE-2014-1770)漏洞,當時是比利時安全研究員Peter Van Eeckhoutte發現了這個漏洞,隨後微軟在2014年2月確認了這個問題。ZDI通常給供應商預留180天的漏洞處理時間,之後他們才會向公眾公開漏洞,這表示微軟在4月份之前都有時間修復這個漏洞。
在這個事件中,微軟實際上有另一個機會在5月初解決這個問題,但是它同樣沒有重視ZDI關於公開這個漏洞的警告。近幾個月來,微軟的安全團隊一直在全力奮戰——他們被迫在本月初發布了一個用於修復另一個IE零日漏洞的編外補丁,其中還特別包含了一個已經不提供支持的XP操作系統的修復包。
ZDI報告提供了一些處理IE零日漏洞的技術方法,其中包括將IE安全域設置為“高”,或者配置瀏覽器為運行Active Scripting之前彈出提示。或許,解決這個問題的最簡單方法是安裝和運行微軟的增強減災體驗工具套件(Enhanced Mitigation Experience Toolkit),微軟自己也非常希望在補丁發佈之前就找到處理零日漏洞的方法。
零日漏洞攻擊事件
2022年9月,《西北工業大學遭美國NSA網絡攻擊事件調查報告》公佈,報告顯示,美國國家安全局(NSA)“特定入侵行動辦公室”(Office of Tailored Access Operation,簡稱TAO)利用其網絡攻擊武器平台、“零日漏洞”(0day)及其控制的網絡設備等,持續擴大網絡攻擊和範圍。TAO利用其掌握的針對SunOS操作系統的兩個“零日漏洞”利用工具,選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的服務器為攻擊目標;攻擊成功後,安裝NOPEN木馬程序(詳見有關研究報告),控制了大批跳板機。
[2]
- 參考資料
-
- 1. 黑客發現iPhone相機零日漏洞 蘋果給予7.5萬美元獎勵 .新浪[引用日期2020-04-04]
- 2. 西北工業大學遭美國NSA網絡攻擊事件調查報告(之一) .北京日報[引用日期2022-09-05]