就應(yīng)用程序和操作系統(tǒng)的新漏洞和漏洞利用技術(shù)而言，2024年第二季度可謂是多事之秋。通過易受攻擊的驅(qū)動程序進行攻擊已成為操作系統(tǒng)中權(quán)限提升的一種通用手段。這種攻擊值得注意的地方在于，漏洞不一定是最新的，因為攻擊者自己會向系統(tǒng)提供未打補丁的驅(qū)動程序。本報告考慮了網(wǎng)絡(luò)犯罪分子可用于攻擊目標系統(tǒng)的公開研究的統(tǒng)計數(shù)據(jù)，并提供了漏洞的統(tǒng)計快照。

已注冊漏洞的統(tǒng)計數(shù)據(jù)

在本節(jié)中，卡巴斯基根據(jù)cve.org門戶的數(shù)據(jù)查看了已注冊漏洞的統(tǒng)計信息。

數(shù)據(jù)顯示，在2024年第二季度，注冊的漏洞數(shù)量超過了去年同期的數(shù)字，并且可能會進一步增長，因為一些漏洞在注冊后不會立即添加到 CVE 列表中。這一趨勢與第一季度報告中指出的已注冊漏洞數(shù)量的總體上升是一致的。

【2023年第二季度和2024年第二季度已注冊漏洞總數(shù)和關(guān)鍵漏洞數(shù)量】

比較2019-2024年期間的數(shù)據(jù)可以看到，在2024年上半年，注冊的漏洞總數(shù)略低于2023年全年的一半。但值得注意的是，注冊的漏洞數(shù)量呈逐季上升趨勢，因此我們不能肯定地說到今年年底它不會超過2023年的數(shù)字。

【2019-2024年漏洞數(shù)量、關(guān)鍵漏洞和存在漏洞利用的漏洞比例】

上述圖表還顯示了在所有已注冊的漏洞中，關(guān)鍵漏洞和有公開描述或概念證明的漏洞所占的份額。后者在第二季度所占份額的下降表明，已注冊漏洞的數(shù)量增長速度快于已發(fā)布的漏洞利用數(shù)量。

與2023年相比，關(guān)鍵漏洞所占比例也略有下降。但構(gòu)成最大風(fēng)險的仍然是關(guān)鍵漏洞。為了了解組織可能面臨的風(fēng)險，以及這些風(fēng)險如何隨時間的推移而變化，讓我們來看看構(gòu)成2023年第二季度和2024年第二季度注冊的關(guān)鍵CVE總數(shù)的漏洞類型。

【2023年第二季度注冊的關(guān)鍵CVE漏洞類型】

【2024年第二季度注冊的關(guān)鍵CVE漏洞類型】

如上所見，即使有CVE條目，大多數(shù)問題仍未分類，需要進一步調(diào)查以獲取詳細信息，這可能會嚴重阻礙系統(tǒng)防護工作，以遏制這些潛在漏洞。除了未分類的關(guān)鍵漏洞外，2023年第二季度還包括以下常見問題：

• CWE-89：SQL命令中使用的特殊元素的不當(dāng)中和（SQL注入）；
• CWE-78：操作系統(tǒng)命令中使用的特殊元素的不當(dāng)中和（操作系統(tǒng)命令注入）；
• CWE-74：下游組件（注入）在輸出中對特殊元素的不當(dāng)中和；

2024年第二季度也出現(xiàn)了一些值得注意的漏洞類型：

• CWE-434：無限制上傳危險類型的文件；
• CWE-89：SQL命令中使用的特殊元素的不當(dāng)中和（SQL注入）；
• CWE-22：對受限目錄的路徑名進行不當(dāng)限制（路徑遍歷）；

上述兩個最常見類型的列表都表明，絕大多數(shù)分類的關(guān)鍵漏洞都已注冊為Web應(yīng)用程序。根據(jù)開源信息，Web應(yīng)用程序中的漏洞確實是最關(guān)鍵的，因為Web應(yīng)用程序包括可以訪問敏感數(shù)據(jù)的軟件，例如文件共享系統(tǒng)、控制VPN訪問的控制臺以及云和物聯(lián)網(wǎng)系統(tǒng)。

漏洞利用統(tǒng)計數(shù)據(jù)

本節(jié)介紹了從開源和卡巴斯基內(nèi)部遙測獲取的2024年第二季度的漏洞利用統(tǒng)計數(shù)據(jù)。

漏洞利用彌足珍貴，其保質(zhì)期可以以天為單位，甚至以小時為單位計算。另一方面，創(chuàng)建它們是一個漫長的過程，根據(jù)漏洞利用的類型而有所不同。以下是Windows和Linux平臺用戶受到漏洞攻擊的統(tǒng)計數(shù)據(jù)。

1.Windows和Linux漏洞利用

自今年年初以來，研究人員發(fā)現(xiàn)Windows漏洞觸發(fā)卡巴斯基解決方案的數(shù)量有所增加，這主要歸咎于網(wǎng)絡(luò)釣魚電子郵件嘗試和試圖通過漏洞利用獲得對用戶系統(tǒng)的初步訪問權(quán)限。其中最流行的是針對Microsoft Office套件中的漏洞利用：

• CVE-2018-0802——Equation Editor組件中的遠程代碼執(zhí)行漏洞；
• CVE-2017-11882——Equation Editor中的另一個遠程代碼執(zhí)行漏洞；
• CVE-2017-0199——Microsoft Office和寫字板中的遠程代碼執(zhí)行漏洞；
• CVE-2021-40444——MSHTML組件中的遠程代碼執(zhí)行漏洞；

【2023年第一季度至2024年第二季度遭遇漏洞利用的Windows用戶數(shù)量動態(tài)。2023年第一季度遭遇漏洞利用的用戶數(shù)為100%】

請注意，由于具有相似的檢測模式，歸類為CVE-2018-0802和CVE-2021-40444的漏洞可能包括CVE-2022-30190（Microsoft支持診斷工具中的遠程代碼執(zhí)行）和CVE-2023-36884（Windows Search組件中的遠程代碼執(zhí)行）漏洞，這些漏洞也仍然是實時威脅。

隨著Linux在企業(yè)領(lǐng)域的應(yīng)用普及，它在漏洞利用方面也顯示出增長趨勢；然而，與Windows相比，Linux漏洞主要針對內(nèi)核：

• CVE-2022-0847——Linux內(nèi)核中的權(quán)限提升漏洞；
• CVE-2023-2640——Ubuntu內(nèi)核中的權(quán)限提升漏洞；
• CVE-2021-4034——用于以其他用戶身份執(zhí)行命令的pkexec實用程序中的權(quán)限提升漏洞；

【2023年第一季度至2024年第二季度遭遇漏洞利用的Linux用戶數(shù)量動態(tài)。2023年第一季度遭遇漏洞利用的用戶數(shù)為100%】

大多數(shù)針對Linux的漏洞都與權(quán)限提升有關(guān)，可用于在系統(tǒng)中獲取持久性和運行惡意代碼。這可能是因為攻擊者經(jīng)常以需要高權(quán)限才能獲得控制權(quán)的Linux服務(wù)器為目標。

2.最常見的漏洞利用

在第二季度中，存在公開漏洞利用的關(guān)鍵漏洞的分布發(fā)生了變化。請參閱下面的圖表，了解第一季度和第二季度的可視化比較。

【按平臺劃分的關(guān)鍵漏洞利用分布（2024年第一季度）】

【按平臺劃分的關(guān)鍵漏洞利用分布（2024年第二季度）】

與第一季度相比，第二季度操作系統(tǒng)中漏洞利用的份額有所增加。這是因為研究人員傾向于在夏季網(wǎng)絡(luò)安全會議之前發(fā)布概念驗證代碼（PoC）。因此，在第二季度發(fā)布了大量的操作系統(tǒng)漏洞。此外，在報告期內(nèi)，Microsoft Sharepoint中漏洞利用的份額有所增加，幾乎沒有針對瀏覽器的新漏洞利用。

APT攻擊中的漏洞利用

卡巴斯基研究人員還分析了高級持續(xù)性威脅（APT）中最常用的漏洞類型。以下排名基于卡巴斯基的遙測、研究和開源數(shù)據(jù)。

【2024年第二季度APT攻擊中最常利用的10大漏洞】

盡管APT攻擊中常見的漏洞列表與第一季度相比截然不同，但攻擊者最常利用相同類型的軟件/硬件解決方案的漏洞來訪問組織的內(nèi)部網(wǎng)絡(luò)：遠程訪問服務(wù)、訪問控制機制和辦公應(yīng)用程序。請注意，該排名中2024年的漏洞在發(fā)現(xiàn)時就已經(jīng)被利用，也就是說，它們是零日漏洞。

利用易受攻擊的驅(qū)動程序攻擊操作系統(tǒng)

本節(jié)介紹了使用易受攻擊的驅(qū)動程序攻擊Windows操作系統(tǒng)及其軟件的公共漏洞利用。根據(jù)公開資料和卡巴斯基自己的數(shù)據(jù)顯示，有數(shù)百個這樣的易受攻擊的驅(qū)動程序，并且新的驅(qū)動程序仍在不斷涌現(xiàn)。

威脅行為者使用易受攻擊的驅(qū)動程序作為“自帶易受攻擊的驅(qū)動程序 （BYOVD） 技術(shù)”的一部分。這涉及在目標系統(tǒng)上安裝未打補丁的驅(qū)動程序，以確保該漏洞被用于在操作系統(tǒng)中進行權(quán)限提升或其他網(wǎng)絡(luò)犯罪活動。這種方法最初被游戲作弊的創(chuàng)造者使用，但后來被網(wǎng)絡(luò)犯罪分子采用。

整體來看，自2023年以來，利用易受攻擊的驅(qū)動程序攻擊Windows以提升權(quán)限和繞過安全機制的趨勢有所上升。

BYOVD 攻擊工具

易受攻擊的驅(qū)動程序本身對于操作系統(tǒng)安全性來說就是一個足夠嚴重的問題，但真正的破壞性活動需要客戶端應(yīng)用程序向驅(qū)動程序傳遞惡意指令。

自2021年以來已經(jīng)陸續(xù)出現(xiàn)了24種在線工具，用于在權(quán)限提升和對特權(quán)進程的攻擊中控制易受攻擊的驅(qū)動程序，例如內(nèi)置和第三方安全解決方案。具體如下所示：

【2021-2024年在線發(fā)布的用于控制脆弱驅(qū)動程序的工具數(shù)量】

正如我們所看到的，2023年是BYOVD攻擊工具最豐富的一年。2024年上半年發(fā)布的工具數(shù)量比2021年和2022年的總和還要多?？ò退够M一步評估了在實際攻擊中使用此類軟件的趨勢，具體所下所示：

【2024年第一季度和第二季度，在卡巴斯基產(chǎn)品上遭受使用易受攻擊的驅(qū)動程序攻擊的用戶數(shù)量動態(tài)；2024年第一季度的數(shù)據(jù)為100%】

隨著BYOVD攻擊數(shù)量的增加，利用易受攻擊驅(qū)動程序的工具開發(fā)人員開始出售它們，因此我們看到使用易受攻擊的驅(qū)動程序進行攻擊的已發(fā)布工具數(shù)量有所下降。但是，如前所述，它們?nèi)岳^續(xù)公開提供。

有趣的漏洞

本節(jié)提供有關(guān)2024年第二季度注冊的相關(guān)漏洞的信息。

1.CVE-2024-26169（WerKernel.sys）

Werkernel.sys是Windows錯誤報告（WER）子系統(tǒng)的驅(qū)動程序，CVE-2024-26169是在調(diào)查與勒索軟件攻擊相關(guān)的事件時發(fā)現(xiàn)的零日漏洞。這是由werkernel.sys使用null安全描述符引起的，該描述符處理訪問級別。這允許任何用戶與驅(qū)動程序交互，例如，重寫注冊表項HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe的值。此鍵存儲有關(guān)負責(zé)對Windows中的應(yīng)用程序進行錯誤處理的應(yīng)用程序的數(shù)據(jù)。

對利用算法的檢查揭示了以下事件：

【漏洞利用生成的事件列表】

該漏洞利用試圖執(zhí)行準備操作以創(chuàng)建特殊的注冊表鍵，這些注冊表鍵允許使用SYSTEM用戶權(quán)限重新啟動注冊表中指定的可執(zhí)行文件。該漏洞利用本身基于競態(tài)條件漏洞，因此其成功與否取決于啟動它的系統(tǒng)。

2.CVE-2024-26229（csc.sys）

Csc.sys是Windows中的另一個與Windows客戶端緩存（CSC）服務(wù)有關(guān)的驅(qū)動程序。CVE-2024-26229是一個權(quán)限提升漏洞，它清楚地說明了操作系統(tǒng)驅(qū)動程序中代碼不安全的問題。在Microsoft門戶網(wǎng)站上發(fā)布有關(guān)此漏洞的信息幾天后，一個PoC就發(fā)布了并在網(wǎng)上傳播，并針對各種格式和框架進行了重寫以進行滲透測試。

該漏洞利用非常易于使用，包括Write原語（寫入任意內(nèi)核位置）和內(nèi)核對象地址泄漏原語的“經(jīng)典”組合。

該漏洞是使用IOCTL觸發(fā)的，這意味著與易受攻擊的驅(qū)動程序的通信方法在許多方面類似于BYOVD攻擊方法。

該漏洞利用的主要算法旨在修改用戶運行進程的PRIMARY_TOKEN結(jié)構(gòu)。這是通過易受攻擊的驅(qū)動程序的能力實現(xiàn)的。

3.CVE-2024-4577（PHP CGI）

CVE-2024-4577源于繞過傳遞給Web應(yīng)用程序的參數(shù)驗證。從本質(zhì)上講，該漏洞的存在是因為CGI模式下的PHP可能無法完全驗證某些語言頁面的危險字符。網(wǎng)絡(luò)犯罪分子可以利用這一特性執(zhí)行標準的操作系統(tǒng)命令注入攻擊。

在使用以下語言設(shè)置的系統(tǒng)中會出現(xiàn)驗證問題：

• 繁體中文（代碼頁950）
• 簡體中文（代碼頁936）
• 日語（代碼頁932）

請注意，CGI模式目前不是很流行，但可以在XAMPP Web服務(wù)器等產(chǎn)品中找到。

利用該漏洞的原因是，要繞過過濾器參數(shù)，只需在基于中文字符的書寫系統(tǒng)中用等效的 Unicode 符號“-”（軟連字符）替換普通破折號就足夠了。因此，該查詢將使用可以運行其他命令的數(shù)據(jù)得到補充。在進程樹中，完整的漏洞利用如下所示：

【利用CVE-2024-4577期間受害者系統(tǒng)中的進程樹】

結(jié)語和建議

就質(zhì)量和數(shù)量而言，漏洞及其有效利用每個季度都在繼續(xù)增長，威脅行為者正在尋找讓已修補漏洞復(fù)活的方法。利用這種漏洞的主要技巧之一是BYOVD技術(shù)，即攻擊者自己將易受攻擊的驅(qū)動程序加載到系統(tǒng)中。公共領(lǐng)域中存在的各種示例和工具包允許網(wǎng)絡(luò)犯罪分子快速調(diào)整易受攻擊的驅(qū)動程序，以滿足他們的需求。展望未來，這種技術(shù)將在攻擊中得到更積極、廣泛地應(yīng)用。

為了保障安全，組織可以遵循如下實踐，以及時應(yīng)對不斷變化的威脅形勢：

• 徹底了解和監(jiān)控您的基礎(chǔ)設(shè)施，尤其要注意外圍和邊緣；了解自己的基礎(chǔ)設(shè)施對于確保其安全至關(guān)重要。
• 引入有效的補丁管理，以及時檢測和消除基礎(chǔ)設(shè)施漏洞，包括攻擊者用于潛入網(wǎng)絡(luò)的易受攻擊的驅(qū)動程序。
• 使用全面的安全解決方案，為工作站提供強大的保護并盡早檢測和預(yù)防任何復(fù)雜的攻擊。收集來自全球各地的實時網(wǎng)絡(luò)攻擊數(shù)據(jù)，并為員工提供基本的數(shù)字素養(yǎng)技能。

原文鏈接：https://securelist.com/vulnerability-exploit-report-q2-2024/113455/